研究人员警告说,零售网站凭借安全漏洞串行
你应该了解区块链的5件事
MesoSeer Open Sources DC / OS数据中心管理平台
商业警告不要对网络安全自满
不到三分之一的组织为IOT安全风险做好准备
那个用一系列代码删除整个公司的人?这是一个骗局
Zuora Ups ante,并将它拿到旧学校供应商
那一刻你意识到你用机器人交换电子邮件
报告说,verizon和centurylink接近搭配数据中心卖出
儿童的行动如何改善IT服务交付
横幅卫生网络泄露强调需要更快的入侵检测
MI5工作人员反复覆盖数据监控规则
拒绝员工的请求,象征营业首席执行官将裁员裁员裁员
伦敦数据中心市场享有预先发布的扑发空间的需求
僵尸操作系统:Windows XP仍在支持结束后两年为181米PC供电
字母x获得预先测试美国的送货无玻璃器
Hewlett Packard Enterprise扩展了按需分析
Microsoft用Azure函数服务发出AWS,更多
太阳能飞机在硅谷陆地
网络轨雇用Jeremy Vincent作为CIO
RSA的任务由Dell-Emc Merger不变,说Amit Yoran说
FCC投票为严格的新宽带隐私规则
立法者呼吁中间立场对执法进入加密
Apple用天窗处理器刷新MacBook
谷歌打开英国数据中心区域,因为企业云推车速度
澳大利亚安全辩论中的身份突出
DWP开始私人测试版Uld CIS数据库
TFL的24小时管API保留了App Compatiblity
可选的Windows Update旨在保护Microsoft无线小鼠免受劫持
BBC打开全息电视试验
成熟的OpenStack面临企业挑战
微软据报道,擦除了8B美元的懈怠
您需要了解AI的五件事:认知和神经,哦,我!
宽带协会要求新的政府对FTTP承诺
赛门铁克与托管提供商提供免费TLS证书到网站所有者
Ray Tomlinson,电子邮件发明家挑选@签名的地址,死亡
在菲律宾推动云采用的论坛
UKTECH50 2016 - 帮助我们在英国找到最有影响力的人
家庭办公室菜单£23米到数字警务项目
BT志愿者承担普遍的宽带义务
微软呼吁跨行业合作创建“负责任”和“包含”云
Deja Vu遍历了:Microsoft Reissues KB 2952664,KB 2976978,KB 2977759
Oracle文件对HPE的版权诉讼
Windows 10更新KB 3140743带来了一些修复,但一些重大变化
松懈让我的同事开始互相响起
机器人可能会有助于您未来的手术
在幕后:Android安全缺陷的解剖
曼谷医院认可使用电子记录
三分之一的保险专业人士预计基于技术的供应商会破坏市场
智能城市技术在数据和传感器之间显示复杂的连接(+视频)
您的位置:首页 >论坛 > 研究报告 >

研究人员警告说,零售网站凭借安全漏洞串行

2021-06-25 16:44:10 [来源]:

研究人员称,零售网站充满了安全漏洞,并且在该部门需要紧急改善。

根据Whitehat安全的说法,平均而言,零售网站展示了开放的Web应用程序安全项目(OWASP)的“严重”安全漏洞,这些漏洞被归类为“批判”或“高风险”。

安全公司的研究人员还发现,大约一半的零售网站展示了至少一个严重的安全缺陷,但平均是23个独特的漏洞。

“普怀特安全副总裁Ryan O'Leary说:”零售商显然有很大程度上存在于网站安全的大部分。““这些组织代表了数千名消费者的Web应用程序,并负责持有个人和财务信息。

“零售商根本无法解决其Web应用程序中发现的所有严重漏洞,并且它需要很长时间才能解决最严重的漏洞 - 平均而言,实施适当的修复。”

Whitehat研究人员发现,零售商正在优先考虑他们意识到的网站漏洞的一半脆弱性。

O'Leary说,多次严重漏洞的存在不仅提高了零售组织假设的总业务风险,还增加了他们传递给弱势网站用户的风险。

他说:“通过优先考虑危急和高风险的安全缺陷来进行补救,零售商们认为严重漏洞持续攻击的天数很好,”他说。

安全公司RiskiQ的研究人员最近发现了使用购物车软件漏洞发现的关键记录攻击,以危及电子商务网站并窃取付款卡信息。

根据RiskiQ,攻击,Dubbed Magecart将JavaScript代码注入网站,允许攻击者捕获支付卡信息。

RiskiQ表示,零售商经营电子商务网站应与集成商和承包商合作。这些可以验证,不仅可以提供保证,不仅可以提供最小合规性要求,还可以展示他们使用的技术以及它们的硬化电子商务装置的过程以及维护声音安全性的透明度。

电子商务站点管理员还必须确保熟悉和一致性的安全控制和最佳实践,并且所有操作系统软件和Web堆栈软件都保持最新。

在荷兰开发人员Willem de Groot后,零售网站的安全性遭到审查,在不知不觉中培养了旨在窃取信用卡详细信息的代码,发现了5,925个在线零售商。

Web应用程序安全性差是潜在的原因。“简而言之,黑客使用各种未分量的软件缺陷来获得商店的源代码,”在博客文章中说。

“一旦商店在犯罪者的控制下,安装了(JavaScript)窃听,将现场支付数据Funnels Live Protection Server(大多在俄罗斯)。此窃听为客户和商家透明地运行。然后脱脂信用卡被销售在黑暗的网络上,以获得每张卡30美元的速度。“

据德格罗克介绍,这款在线卡片撇渣是由几个网络犯罪集团进行的,自2015年11月以来,他首次开始跟踪活动时增加了69%。

“如果商店所有者会定期升级软件,则可以立即停止新案例,”de groot写道。“但这是昂贵的,大多数商人都不打扰。”

John Bambenek,Fidelis Cyber​​security的威胁情报经理表示,零售商应该更加关注安全,因为未能这样做,可能会使他们的声誉和盈利能力造成风险。

“每天,检测到数百万扫描寻找常规漏洞,将恶意代码插入网站,”他说。“问题是,一旦被恶意代码被注入并且商业商店一直撇去,客户卡数据面临着在线销售的风险。”

为了打击在线撇杀,Bambenek表示,零售网站需要通过扫描自己的网站来保持警惕,以便通过OWASP识别凭证的10个最关键的Web应用程序安全性,维护Web应用程序防火墙,并立即应用补丁。

“这些步骤可能会花费零售商的时间,但是超过90%的剥削如果实施,就会消失过夜,”他说。..........................................

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。