fbpx

Las integraciones fraudulentas de Javascript pueden ser fuente de ataques

El análisis de los 1000 sitios web principales de Alexa ha revelado una preocupante falta de controles de seguridad necesarios para evitar el robo y la pérdida de datos a través de ataques del lado del cliente.

Según una investigación de Tala Security , técnicas como los ataques Magecart, formjacking, cross-site scripting y skimming de tarjetas de crédito están explotando integraciones de JavaScript vulnerables que se ejecutan en el 99% de los principales sitios web del mundo, y la eficacia de la seguridad contra las vulnerabilidades de JavaScript está disminuyendo.

La investigación determinó que el sitio web promedio incluye contenido de 32 proveedores de JavaScript de terceros, y el 58% del contenido que se muestra en los navegadores de los clientes es entregado por integraciones de JavaScript de terceros. 

«El problema fundamental con la forma en que se protegen los sitios web de hoy es que los datos de los usuarios están muy expuestos a aplicaciones y servicios de terceros y que la filtración de datos se produce incluso desde recursos de terceros confiables», dijo Aanand Krishnan, fundador y director ejecutivo de Tala Security. . «Es imperativo que las organizaciones tengan la seguridad como una prioridad y presten mucha más atención a lo que se ha convertido en un vector de ataque generalizado».

Si bien el 30% de los sitios web analizados habían implementado políticas de seguridad, se encontró que solo el 1,1% tenía una seguridad efectiva.

Jonathan Knudsen, estratega de seguridad senior de Synopsys , dijo que la propia investigación de la empresa mostró que la aplicación comercial promedio tiene más de 400 componentes de código abierto de terceros. Explicó: “Si bien la investigación realizada por Tala Security podría identificar a 32 proveedores independientes, al observar cualquier cadena de suministro de software, es importante observar no solo los proveedores conocidos, sino también el uso de software de código abierto en el producto final o Servicio. Después de todo, es imposible parchear algo que no sabes que está ahí «.

Contenido Relacionado:  Apple anuncia que la WWDC20 será virtualmente el 22 de junio

También afirmó que «no es de extrañar que la investigación haya encontrado que el sitio web promedio tiene contenido de 32 proveedores externos», ya que el software moderno está más ensamblado de lo que está escrito, con partes útiles de funcionalidad que a menudo provienen de código abierto, de terceros componentes de software e interacciones que ocurren a través de API con otros múltiples sistemas.

“No hay nada intrínsecamente malo en usar componentes de software de terceros, el lenguaje JavaScript o el ecosistema web”, argumentó. «Al igual que con cualquier otra cosa, el riesgo debe gestionarse y minimizarse durante la construcción e implementación de sitios web».

Keith Geraghty, arquitecto de soluciones de Edgescan , dijo que Javascript no es el problema aquí, ya que ha “revolucionado la experiencia del usuario en la web.

“Cuando nos referimos a proveedores, generalmente nos referimos a programadores talentosos que han desarrollado herramientas y soluciones que, junto con HTML y CSS, constituyen la columna vertebral de la web”, dijo. «Al igual que con todos los complementos y soluciones, las organizaciones deben asegurarse de que lo que utilizan sea seguro, esté actualizado y esté sujeto a los mismos controles que su estrategia tradicional de administración de parches».

Craig Young, investigador senior de seguridad de Tripwire , dijo: “La situación con la carga de tantas bibliotecas JavaScript desde tantos dominios diferentes amplifica enormemente el riesgo que representan los ataques de secuestro de subdominios para Internet en general. El problema es que cada dominio de terceros que proporciona JavaScript no autenticado presenta una oportunidad para que un servidor comprometido entregue contenido malicioso a usuarios desprevenidos a menos que el operador del sitio haya tomado precauciones de seguridad específicas «.

Contenido Relacionado:  ¿Por qué es tan útil saber de programación?