在最近的網絡攻擊中，三個著名站點遭到了類似Magecart風格的攻擊，以竊取購物者的個人信息。信息很明確：網站和Web應用程序容易受到攻擊，并且現有的安全部署不足以防御客戶端攻擊。那么如何使現代Web體驗更安全？現代的Web體系結構創建了一個環境，在該環境中，當今網站上多達70%的代碼呈現都不來自站點所有者的服務器，而是通過安全性外部運行的JavaScript集成來控制大多數站點所有者所部署的。

Web開發人員喜歡這些集成的動態性和分析能力。不幸的是，由于這些集成很大程度上不受管理和監控，因此它們大大擴展了攻擊面，給企業及其最終用戶帶來了巨大的風險。

但是，在世界上95%的網站都使用客戶端JavaScript的世界中，您如何管理和防范這種風險?問題是大多數組織將其Web安全策略基于監視服務器，這在15年前就很有意義了。如今，執行點在瀏覽器中，這也是當今的網絡安全策略所必須遵循的目標。

　　從Google取得提示

Google是第一個認識到現代網絡可以在創新，復雜，面向JavaScript的應用程序上運行的公司。他們在瀏覽器中內置了強大的技術，提供了以前在.exe文件上運行的那種功能。

在構建Gmail和Google Maps的過程中，他們比其他任何人都早發現了這些新應用程序中潛在的安全漏洞。因此，在他們開創這些技術的同時，他們開始構建保護它們所需的控件。

在這一領域進行創新的其他公司在增加功能性方面做得很出色，而且沒有彌合不斷擴大的安全漏洞。這就是像Magecart這樣的網絡攻擊者想要利用的空白。

如果當今的網絡是圍繞基于客戶端的，基于JavaScript的應用程序構建的，那么我們有理由對這些應用程序使用相同的基于標準的安全性。

這些都是所有現代瀏覽器和Web應用程序框架所固有的，但數量驚人的公司卻利用了這一優勢：美國Alexa 1000網站中只有2%的安全性足以抵御攻擊英國航空公司和梅西百貨公司的攻擊類型。

攻擊瀏覽器

如果攻擊者能夠進入瀏覽器，他們可以釋放出幾種攻擊方式：他們可以破壞服務器（英國航空公司就是這種情況），他們可以破壞我們剛才提到的任何第三方應用程序（以及因為它們可能依賴于第四方和第五方），否則可能會損害客戶。

實際上，這意味著他們可以竊取數據-最終用戶通過cookie或存儲在本地數據庫中的數據以某種形式（例如信用卡，用戶憑據，醫療保健信息）輸入數據。他們還可以將用戶重定向到競爭對手或惡意站點，向他們顯示競爭對手或惡意內容，或劫持其機器以用于加密采礦。

靜態數據和移動數據由已建立的防御機制(如身份驗證，加密和訪問控制)提供支持。但是在現代網絡上，服務器不再需要處理數據，它所要做的只是發送JavaScript文件。

執行的重點已經轉移到瀏覽器的客戶端上，您真正需要的是保護瀏覽器本身不受攻擊。有很多現成的且非常有效的安全措施（CSP，SRI，Referrer-Policy等）。

但是，公司采用這些措施的速度很慢，并且通常缺乏實施這些措施的資源。安全團隊沒有行銷團隊那樣的預算，專注于應用程序安全的網絡安全人才之間存在巨大差距。

　　我們需要一種新的思維方式

彌補這些漏洞需要改變我們對網絡安全的思考方式。在過去的十年中，Web發生了如此巨大的變化，人們以我們未曾想到的方式使用它：考慮移動Web的增長和物聯網的發展。我們的安全方法沒有跟上步伐。

每個網站都可以具有與Google用來保護客戶信息的相同的安全控制措施和政策。對于安全從業人員來說，過去已經來臨，應該更加密切地關注數據源的高度針對性的問題，并開始勤奮地立即部署客戶端安全性。想了解更多信息安全的信息，請繼續關注中培偉業。