Web mülkleri, işlevselliği artırmak için üçüncü taraf JavaScript’e giderek daha fazla güveniyor, ancak bu aynı zamanda doğal riskleri de beraberinde getirebilir.
Dünya çapında trafiği en yüksek 4.300 web sitesini tarayan Source Defense’in bir raporu, sayfa başına ortalama dört üçüncü taraf komut dosyası buldu. Genellikle bu etiketler, uygun güvenlik kontrolleri veya güvenlik ekiplerinin gözetimi olmadan eklenir ve saldırganların açıktaki API anahtarlarını ve ihlal sitelerini bulmaları için kolay bir yol sağlar.
Halo Security, güvenlik ekiplerinin istenmeyen riskleri tespit etmesine yardımcı olan yeni bir özelliği tanıttı. Aracısız çözümü, nasıl eklenmiş olurlarsa olsunlar, saldırı yüzeyinde kullanılan betiklerdeki sırları tanımlar, böylece güvenlik ekipleri neyin tehlikeli neyin tehlikeli olmadığını bilir.
Bu etiketler genellikle geliştiriciler ve pazarlamacılar tarafından risk anlaşılmadan etiket yönetim sistemleri aracılığıyla eklenir. Invicti’nin araştırması, internetteki en iyi sitelerin %6,3’ünün anahtarları ve sırları ifşa ettiğini gösteriyor.
Halo Security’nin yeni özelliği, taradığı web sitelerinde 700’den fazla ifşa edilmiş sır örneğini algıladı ve müşterileri uyardı. Bir sitenin tüm altyapısının kilidini açan Amazon anahtarları ve bir saldırganın resimleri karşıya yükleyebileceği veya silebileceği ve itibarına zarar verebileceği görüntü döngüleri gibi üçüncü taraf işlevlerine yönelik tescilli arka kapılar gibi potansiyel olarak yıkıcı ifşalar buldu.
“Sızma testçilerimiz bu sorunu son zamanlarda giderek daha fazla işaretliyor ve bu, çoğu müşterinin bilmediği bir sorun. Halo Security’de Güvenlik Ürünlerinden Sorumlu Başkan Yardımcısı Nick Merritt, “Bu yeni özellikle sürekli ve otomatik olarak farkındalık getiriyoruz” dedi. “Yeni JavaScript gizli tespitlerimiz, mevcut komut dosyası izleme ve analiz çözümlerimiz için mükemmel bir tamamlayıcı.”
Halo Security müşterileri artık JavaScript’lerinde açığa çıkan tüm sırları vurgulayan yeni bir rapora hiçbir ek ücret ödemeden ve ek yapılandırma gerektirmeden erişebilir. Halo Security, harici saldırı yüzeylerinin güvenliğini artırmak isteyen şirketler için, açığa çıkan mevcut anahtarları keşfetmeleri için yedi günlük ücretsiz bir deneme sunar.