在最近的网络攻击中，三个著名站点遭到了类似Magecart风格的攻击，以窃取购物者的个人信息。信息很明确：网站和Web应用程序容易受到攻击，并且现有的安全部署不足以防御客户端攻击。那么如何使现代Web体验更安全？现代的Web体系结构创建了一个环境，在该环境中，当今网站上多达70%的代码呈现都不来自站点所有者的服务器，而是通过安全性外部运行的JavaScript集成来控制大多数站点所有者所部署的。

Web开发人员喜欢这些集成的动态性和分析能力。不幸的是，由于这些集成很大程度上不受管理和监控，因此它们大大扩展了攻击面，给企业及其最终用户带来了巨大的风险。

但是，在世界上95%的网站都使用客户端JavaScript的世界中，您如何管理和防范这种风险?问题是大多数组织将其Web安全策略基于监视服务器，这在15年前就很有意义了。如今，执行点在浏览器中，这也是当今的网络安全策略所必须遵循的目标。

　　从Google取得提示

Google是第一个认识到现代网络可以在创新，复杂，面向JavaScript的应用程序上运行的公司。他们在浏览器中内置了强大的技术，提供了以前在.exe文件上运行的那种功能。

在构建Gmail和Google Maps的过程中，他们比其他任何人都早发现了这些新应用程序中潜在的安全漏洞。因此，在他们开创这些技术的同时，他们开始构建保护它们所需的控件。

在这一领域进行创新的其他公司在增加功能性方面做得很出色，而且没有弥合不断扩大的安全漏洞。这就是像Magecart这样的网络攻击者想要利用的空白。

如果当今的网络是围绕基于客户端的，基于JavaScript的应用程序构建的，那么我们有理由对这些应用程序使用相同的基于标准的安全性。

这些都是所有现代浏览器和Web应用程序框架所固有的，但数量惊人的公司却利用了这一优势：美国Alexa 1000网站中只有2%的安全性足以抵御攻击英国航空公司和梅西百货公司的攻击类型。

攻击浏览器

如果攻击者能够进入浏览器，他们可以释放出几种攻击方式：他们可以破坏服务器（英国航空公司就是这种情况），他们可以破坏我们刚才提到的任何第三方应用程序（以及因为它们可能依赖于第四方和第五方），否则可能会损害客户。

实际上，这意味着他们可以窃取数据-最终用户通过cookie或存储在本地数据库中的数据以某种形式（例如信用卡，用户凭据，医疗保健信息）输入数据。他们还可以将用户重定向到竞争对手或恶意站点，向他们显示竞争对手或恶意内容，或劫持其机器以用于加密采矿。

静态数据和移动数据由已建立的防御机制(如身份验证，加密和访问控制)提供支持。但是在现代网络上，服务器不再需要处理数据，它所要做的只是发送JavaScript文件。

执行的重点已经转移到浏览器的客户端上，您真正需要的是保护浏览器本身不受攻击。有很多现成的且非常有效的安全措施（CSP，SRI，Referrer-Policy等）。

但是，公司采用这些措施的速度很慢，并且通常缺乏实施这些措施的资源。安全团队没有行销团队那样的预算，专注于应用程序安全的网络安全人才之间存在巨大差距。

　　我们需要一种新的思维方式

弥补这些漏洞需要改变我们对网络安全的思考方式。在过去的十年中，Web发生了如此巨大的变化，人们以我们未曾想到的方式使用它：考虑移动Web的增长和物联网的发展。我们的安全方法没有跟上步伐。

每个网站都可以具有与Google用来保护客户信息的相同的安全控制措施和政策。对于安全从业人员来说，过去已经来临，应该更加密切地关注数据源的高度针对性的问题，并开始勤奋地立即部署客户端安全性。想了解更多信息安全的信息，请继续关注中培伟业。