Tala Security今天发布的一份Web安全报告表明，全球Web安全状况急剧恶化，99%的网站JavaScript插件遭遇攻击风险。该报告跟踪了Alexa前1000名网站的安全状况，发现平均每个网站涵盖来自32个不同的第三方的JavaScript程序，比2019年有所减少。而诸如Google Analytics（分析）和其他插件之类的第三方程序可以将网站暴露于Magecart、formjacking、跨站脚本、信用卡挟持和其他攻击。

这类反击利用了在全球约99％的网站上运行的易受攻击的JavaScript组件。尽管有30％的网站实施了代莱安全策略，比2019年增加了10％，但只有1.1％的网站具有有效率的安全措施，比2019年反而下降了11％。

Tala Security的创始人并任首席执行官Aanand Krishnan表示：

这表明，尽管网站安全措施的部署减少了，但效率却急剧下降。攻击者占有绝对优势，主要是因为我们没有充分发挥有效率的防御作用。

报告表示，如果没有效率的策略掌控，大多数网站上运行的每一段代码都可能将通过JavaScript继续执行的客户端反击来修正、窃取或外泄信息。这些反击对黑客而言意义关键性，因为一旦他们攻击了第三方工具，他们便可以在部署该工具的任何其他网站上利用它。

报告辨认出，数据风险无处不在，很少有网站部署真正应有效的控制措施。

在许多情况下，这些数据泄漏是通过白名单上的合法应用程序展开的，而网站所有者却不知道。

应该高度关注的就是：尽管引人注目的违规事件不断减少，但用于完成92％网站上的订单的表单脚本仍将数据平均值暴露给17个域。

因此，数据不仅会在主要网站，代销网站或支付平台中官方，平均还可以暴露其他15个域，这极大地曝露了风险，我们已经看见了黑客修改代码，甚至关闭了整个网站的案例。

Lookout安全解决方案高级经理Hank Schless表示，数据表明，向第三方开放公司平台可以增添更多风险，尤其就是在暴露于GDPR和CCPA方面。

Schless指出：

如今，隐私已成为主要关注点，安全团队须要适度评估任何第三方集成商的安全状况，然后才能允许他们出访客户数据。

SaltStack的联手创始人并任首席技术官Thomas Hatch说道，他对有效率的web安全管理水平下滑的报道深感担忧。

Hatch说道：

如此严重的下滑，说明当今网站的网络安全管理存在显然问题。这些类型的反击和漏洞并不是什么新事物，但却比以往任何时候都广泛。如果必须克服这些问题，我们需要重新考虑如何部署应用程序，重新考虑如何维护应用程序，重新考虑如何安全管理，以及如何积极支持用于构筑现代Web站点的大量开源项目。