研究人员警告说,零售网站凭借安全漏洞串行
研究人员称,零售网站充满了安全漏洞,并且在该部门需要紧急改善。
根据Whitehat安全的说法,平均而言,零售网站展示了开放的Web应用程序安全项目(OWASP)的“严重”安全漏洞,这些漏洞被归类为“批判”或“高风险”。
安全公司的研究人员还发现,大约一半的零售网站展示了至少一个严重的安全缺陷,但平均是23个独特的漏洞。
“普怀特安全副总裁Ryan O'Leary说:”零售商显然有很大程度上存在于网站安全的大部分。““这些组织代表了数千名消费者的Web应用程序,并负责持有个人和财务信息。
“零售商根本无法解决其Web应用程序中发现的所有严重漏洞,并且它需要很长时间才能解决最严重的漏洞 - 平均而言,实施适当的修复。”
Whitehat研究人员发现,零售商正在优先考虑他们意识到的网站漏洞的一半脆弱性。
O'Leary说,多次严重漏洞的存在不仅提高了零售组织假设的总业务风险,还增加了他们传递给弱势网站用户的风险。
他说:“通过优先考虑危急和高风险的安全缺陷来进行补救,零售商们认为严重漏洞持续攻击的天数很好,”他说。
安全公司RiskiQ的研究人员最近发现了使用购物车软件漏洞发现的关键记录攻击,以危及电子商务网站并窃取付款卡信息。
根据RiskiQ,攻击,Dubbed Magecart将JavaScript代码注入网站,允许攻击者捕获支付卡信息。
RiskiQ表示,零售商经营电子商务网站应与集成商和承包商合作。这些可以验证,不仅可以提供保证,不仅可以提供最小合规性要求,还可以展示他们使用的技术以及它们的硬化电子商务装置的过程以及维护声音安全性的透明度。
电子商务站点管理员还必须确保熟悉和一致性的安全控制和最佳实践,并且所有操作系统软件和Web堆栈软件都保持最新。
在荷兰开发人员Willem de Groot后,零售网站的安全性遭到审查,在不知不觉中培养了旨在窃取信用卡详细信息的代码,发现了5,925个在线零售商。
Web应用程序安全性差是潜在的原因。“简而言之,黑客使用各种未分量的软件缺陷来获得商店的源代码,”在博客文章中说。
“一旦商店在犯罪者的控制下,安装了(JavaScript)窃听,将现场支付数据Funnels Live Protection Server(大多在俄罗斯)。此窃听为客户和商家透明地运行。然后脱脂信用卡被销售在黑暗的网络上,以获得每张卡30美元的速度。“
据德格罗克介绍,这款在线卡片撇渣是由几个网络犯罪集团进行的,自2015年11月以来,他首次开始跟踪活动时增加了69%。
“如果商店所有者会定期升级软件,则可以立即停止新案例,”de groot写道。“但这是昂贵的,大多数商人都不打扰。”
John Bambenek,Fidelis Cybersecurity的威胁情报经理表示,零售商应该更加关注安全,因为未能这样做,可能会使他们的声誉和盈利能力造成风险。
“每天,检测到数百万扫描寻找常规漏洞,将恶意代码插入网站,”他说。“问题是,一旦被恶意代码被注入并且商业商店一直撇去,客户卡数据面临着在线销售的风险。”
为了打击在线撇杀,Bambenek表示,零售网站需要通过扫描自己的网站来保持警惕,以便通过OWASP识别凭证的10个最关键的Web应用程序安全性,维护Web应用程序防火墙,并立即应用补丁。
“这些步骤可能会花费零售商的时间,但是超过90%的剥削如果实施,就会消失过夜,”他说。..........................................