Hiburan Bangsa Langsung
Ticketmaster baru-baru ini harus membetulkan pelanggaran yang agak serius yang berpotensi menyebabkan kebocoran beberapa bukti kelayakan kad kredit pelanggan. Mereka telah berusaha keras untuk menyelesaikan masalah itu, tetapi satu individu berpendapat bahawa dia menyelesaikan masalah yang mendorong serangan itu.
Kevin Beaumont, salah seorang penyelidik keselamatan digital di UK, percaya bahawa dia tahu apa itu vektor serangan. Inbenta telah menyediakan bot sembang untuk webmaster yang berfungsi dengan memanggil fail JavaScript dari pelayan jauh Inbenta sendiri.
Satu baris HTML digunakan untuk memanggil bahagian JavaScript tertentu. Beaumont berpendapat bahawa Inbent memberikan Ticketmaster satu-satu JavaScript tunggal yang mungkin mereka gunakan di halaman pembayaran mereka tanpa memberitahu juruteknik Inbenta. Oleh kerana kod tersebut kini berada di laman pemprosesan pembayaran Ticketmaster, kode tersebut berfungsi secara fungsional di tengah semua transaksi kad kredit yang melalui laman web ini.
Kod JavaScript kemudiannya, menurut teori Beaumont, dapat dilaksanakan di penyemak imbas pelanggan dari halaman yang sama dengan maklumat kad kredit mereka. Seseorang mesti mengubah kod dan memberikannya kuasa untuk melakukan sesuatu yang berniat jahat ketika mereka melakukannya.
Penyelidikannya juga menunjukkan bahawa alat anti-malware menjalankan tugas mereka. Beberapa perisian keselamatan dapat memulakan penandaan skrip beberapa bulan sebelum ejen Ticketmaster mengumumkan pelanggaran tersebut berlaku. Fail JavaScript itu sendiri nampaknya dimuat naik ke beberapa alat perisikan ancaman, yang lebih mungkin bagaimana mereka dapat menangkap pelanggaran tersebut pada waktunya.
Pakar lain telah menyatakan kebimbangan terhadap ketergantungan perpustakaan JavaScript dan bagaimana ini berkaitan dengan pelanggaran semacam ini. Sudah menjadi kebiasaan bagi pengekod menggunakan git repositori untuk menyelesaikan masalah ketergantungan pihak ketiga untuk menggunakan kerangka kerja JavaScript tertentu yang membuat pekerjaan mereka lebih mudah.
Walaupun ini adalah kaedah penggunaan semula kod yang cekap, ada risiko bahawa beberapa kebergantungan ini dapat menimbulkan sesuatu yang berbahaya di dalamnya. Sebilangan besar repositori ini kadang-kadang menjadi mangsa peretas yang menyalahgunakannya, yang bermaksud mereka boleh menerjemahkan ke tempat tambahan untuk kod yang tidak diaudit untuk mencari jalan ke pangkalan yang sah.
Akibatnya, beberapa menyatakan keinginan untuk lebih memperhatikan prosedur pengauditan kod yang ketat untuk mengurangkan risiko masalah seperti ini.
Teg keselamatan web
