从过去的网络安全事件未有学习的企业
发布时间:2022-02-10 09:37:06 所属栏目:要闻 来源:互联网
导读:事件发生后的网络安全事件展示组织仍然在基础上失败,但他们还表明,COTROY HUNT,Pluralsightauthor和Security Expert的情况下,他们也表明很少有人从其他人的过去的错误中学习过去的错误。 这是一个很好的例子是伦敦InfoSecurity欧洲的历史上达到数千个政
|
事件发生后的网络安全事件展示组织仍然在基础上失败,但他们还表明,COTROY HUNT,Pluralsightauthor和Security Expert的情况下,他们也表明很少有人从其他人的过去的错误中学习过去的错误。 “这是一个很好的例子是伦敦InfoSecurity欧洲的历史上达到数千个政府网站和组织的基础妥协。 “尽管这有一个相当重大的影响,但许多组织尚未了解到课程,大多数网站都没有自由而简单地修复,包括属于某些英国和美国政府部门和一些主要零售商的问题。”问题是由在访问网站访问者浏览器中自动执行的BrowseAloud网站可访问性服务中的文件损坏引起的。 除了在浏览器中运行浏览器服务外,损坏的文件还会推出加密货币挖掘软件,以使攻击者能够利用受影响站点的访问者的计算资源,以挖掘Monero Crypurrency以获得攻击者的利益。 “这可以通过使用内容安全策略(CSP)来停止,这只是几行代码组织可以免费为他们的网站添加到他们的网站中,以确保在使用像BrowseLemoud这样的第三方服务时才能自动运行批准的脚本,“亨特说。“尽管事件突出显示了这个问题,但只有任何人都在使用CSP。事实上,世界上只有2.5%的100百万个网站目前使用CSP来抵御流氓内容,“他说。 亨特说,加密货币矿工也许是“大多数良性”形式的内容攻击者可以选择通过受损的基础文件发射。“实际上,我们在这次下车下车了,但我们没有看到网站所有者的重要行动是回应。” 此事件强调了许多网站使用来自第三方的服务和内容,这代表了安全风险,因为攻击者可能会妥协,这是通过数百万个网站损害和执行恶意代码的方式。“对美国法院网站的分析显示,其主页代表2.3MB的数据,与整个尚未游戏的大小相同,而且差不多是脚本,这是一个相当大的活动内容自动加载到访问者的浏览器中,尤其是当您认为您可以对JavaScript进行任何事情时,请追捕。 (编辑:济南站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
