ყველაზე კომპანიები შეუზღუდავი phishing ელ, firewalls, და Endpoint დაცვა, მაგრამ შეუზღუდავი მშვიდობა, ისევე რისკული რისკი. კომპანიები იცით, თუ როგორ მათი ვებ პროგრამები ქცევა მათი მომხმარებლის ბრაუზერის? საწყისი საწყისი საწყისი საწყისი სკრპტები არ არის მხოლოდ შეუზღუდავი IT ჯანმრთელობის. ისინი ღონისძიება მონაცემთა გაქირავება, საღებავი და რეგულარული Fallout.
When a forgotten domain becomes an attack vector
British Airways- ის ცუდი სატვირთო სატვირთო სატვირთო სატვირთო სატვირთო სატვირთო სატვირთო სატვირთო სატვირთო სატვირთო სატვირთო სატვირთო სატვირთო სატვირთო სატვირთო სატვირთო სატვირთო სატვირთო სატვირთო სატვირთო სატვირთო სატვირთო სატვირთო სატვირთო სატვირთო სატვირთო სატვირთო სატვირთობრიტანეთის Airways.com(ფუნქციური საიტი) ფარული საიტი. როდესაც ვინმეს შეამოწმოდა, მდე ნახევარი მილიონი მომხმარებელს შეუზღუდავი იყო. თვითმფრინავი საფრანგეთის საფრანგეთის საფრანგეთის საფრანგეთის საფრანგეთის საფრანგეთის საფრანგეთის საფრანგეთის საფრანგეთის საფრანგეთის საფრანგეთის საფრანგეთის საფრანგეთის საფრანგეთის საფრანგეთის საფრანგეთის საფრანგეთის საფრანგეთის საფრანგეთის საფრანგეთის საფრანგეთის საფრანგეთის საფრანგეთის საფრანგეთის საფრანგეთის საფრანგეთის საფრანგეთის საფრანგეთის საფრანგეთის საფრანგეთის საფრანგეთის საფრანგეთის საფრანგეთის საფრანგეთის საფრანგეთის საფრანგეთის საფრანგეთის საფრ
კიდევ უფრო საინტერესო: ჩვენი კომპანიას უკვე შეუძლიათ შეიძინოთბოსტინგიმას შემდეგ, რაც უზრუნველყოფს იგი და ახლა მახასიათებლის ისტორია, რათა გაუმჯობესოს კომბინაცია. მოდული ბრაუზერის მიწოდების ქსელის უსაფრთხოების ინსტრუმენტები იყო ადგილი (სავარაუდოდ, ხელსაყრელი, რომბოსტინგიდასაწყისში დასაწყისში დასაწყისში დასაწყისში დასაწყისში დასაწყისში დასაწყისში დასაწყისში.
ეს არ არის ძველი ისტორია. იგივე ძირითადი საავტომობილო საავტომობილო ჯერ კიდევ ხელმისაწვდომია ციფრული ქარხანა. ბევრი ორგანიზაციები უბრალოდ არ ვიცი, რა დონეები ისინი გაქვთ დასრულდა, ან რა ამ დონეებს ჯერ კიდევ დაკავშირებულია.
დახურული დომინები არ მგრძნობიარე
ზოგიერთი თვის წინ, ბელგიის ციფრული უსაფრთხოების კვლევითი Inti De Ceukelaire გაკეთდა მძიმე ექსპერიმენტი. მან შეიძინა მეტი 100 დასრულებული დონეები, რომლებიც ერთხელ მოიცავს სამზარეულოები, კანონები და პოლიტიკა. დღის განმავლობაში, მას გაქვთ ხელმისაწვდომი 848 ელ-ფოსტის შეტყობინებები. password reset ბმულები შევიდა ყველაფერი Google Drive to Dropbox to OneDrive.
კიდევ უფრო შეუზღუდავი იყო, რომ ამ შეუზღუდავი შეტყობინებები დაიწყო მიიღოს ახალი შეტყობინებები, მათ შორის ადამიანების პირადი ჯანმრთელობის მონაცემები, კანონპროექტი, და ინტენსიური პოლიტიკის კომუნიკაციები. წლის შემდეგ, რაც ამ დონეები გაქირავებულა, ისინი ჯერ კიდევ შეუზღუდავი არიან მნიშვნელოვანი სისტემებს და სუპერ მონაცემებს გადაცემა ქვემოთ € 10 ყოველ დონეზე.
ეს არის ის, რაც ხდება, როდესაც ორგანიზაციები არ შეუწყობს სრულიად დაშორება ძველი კავშირი. შეჩერებული არ ნიშნავს გაშორებული, ეს მხოლოდ ნიშნავს შეუზღუდავი.
Domain confusion შეუზღუდავი ბრენდის Trust და უსაფრთხოება
თუნდაც აქტიური დონეები შეიძლება შექმნას უსაფრთხოების პრობლემები, როდესაც არ არის მართული. მიიღეთ ბრიტანეთის Royal Mail, რომელიც გაგზავნა მომხმარებელს პაკეტების შეამოწმების ბმულები გამოყენებით დონეზეRyml. მემას შემდეგ, რაც ნარკოტიკული string. ერთად scam ტექსტები იმიტომ, რომ ეს სწორი ფორმატში, მომხმარებლები არ შეუძლიათ საიმედოად ვთქვა, რა არის ლითონის. ზოგიერთი შემთხვევაში, Royal Mail- ის საკუთარი მხარდაჭერა გუნდი არ აღინიშნა მათი საკუთარი ბმულები საღებავი. ეს სახის შეუზღუდავი ჩიპები დატოვებს მომხმარებლის საიმედოობა და იძლევა phishing ადვილად.
ან განიხილეთ HubSpot, რომელიც იყენებს ფართო სპექტრი დონეზე (HUBSPOT.COM საიტზედაHs-Scripts.com საიტზედაHsforms.com საიტზედაHUBAPI.COM საიტზე, და სხვა) სხვადასხვა მომსახურებისთვის. თუ ბიზნესს საშუალებას იძლევა, რომ სკრიპტი კავშირდება დონეზე, როგორიცაა hs-hubapi dot net (არ არ არის ფაქტობრივი ცნობილი დონე, მაგრამ საკმარისი გონივრული), ეს შეიძლება არასდროს გამოიყენოთ მძიმე კოდი. გარდა ამისა, მძიმე სკრიპტი შეიძლება იყოს რისკული, თუ უსაფრთხოების გუნდი არ არის დარწმუნებული, რა დონეები შეესაბამება. როდესაც დონე მენეჯმენტი არ არის ნათელი, ორივე უსაფრთხოების გუნდი და საბოლოო მომხმარებლები არ დაინახება.
Polyfill- ის შეცდომა აჩვენებს, რა მოხდება, როდესაც შეუწყებული კოდი დაბრუნება
უახლესი Polyfill ინტენსიურობა ამ პრობლემის სახლში მოჰყვა. სატვირთოები შეიძინა Domain Polyfill dot io, წინასწარ დაკავშირებული open source ბიბლიოთეკა, რომელიც გამოიყენება ათასობით საიტები. პროექტი არ იყო შენარჩუნება, მაგრამ სკრინშოტი ჯერ კიდევ აქტიურად მიუთითდა მეტი 380,000 სატვირთოები, მათ შორის Warner Bros და Mercedes-Benz. ერთხელ შეუზღუდავი, Polyfill dot io დაიწყო დაჭეროს სატვირთო კოდი თითოეულ გვერდზე, რომელიც აცხადებს. შეუზღუდავი არ იყო უახლესი ახალი აღჭურვილობა. ეს მოდის შეუზღუდავი ბმულზე, რომელიც შეშფოთებულია სკრინშოტი მაგიდა
რა უნდა გავაკეთოთ ორგანიზაციები ახლა
დომენის და ბრაუზერის სკრიპტის მართვა ხშირად შეესაბამება, როგორც პერსპექტიული პრობლემები. ისინი არ არიან. რისკები რეალურია, აქტიურია და იზრდება; რეგისტრატორები აღიარებენ. PCI DSS 4.0, მაგალითად, ახლა მოითხოვს (მაგ. მაისი 2025) ყველა ორგანიზაციებს, რომლებიც გადახდის მონაცემებს დამუშავებენ ბრაუზერის სკრიპტის მონიტორინგი.
იმისათვის, რომ თავიდან ავიცილოთ ორივე თავმჯდომარე და ოპტიმენტებს, ორგანიზაციებს უნდა გადაიხადოთ, თუ როგორ უნდა მართოთ დონეზე და სკრიპტის რისკებს. ეს ყველაფერი იწყება ყველა დონეზე, რომელიც დაკავშირებულია ინტენსიური სისტემებს, მომხმარებლის ანგარიშებს, ან სასტუმრორებული მონაცემებს (მახვეიცავს ხანგრძლივი მას შემდეგ, რაც ახალი ბრენდის ან ბიზნეს ცვლილება). ეს ასევე ნიშნავს lookalike დონეების პროექტუალური მოპოვებას, რათა თავიდან ავიცილოთ საჩუქრები და typo-squatting თავშესაბათები, სანამ ისინი შეიძლება დაიწყოს. ყველაზე მნიშვნელოვანია, კომპანიებს უნდა დააყენოთ ბრაუზერის დაფუძნებული მიწოდების ქსელის
თანამედროვე ბრაუზერი არის ერთ-ერთი ყველაზე განკუთვნილია ზედაპირები ციფრული უსაფრთხოების. ბევრი დამოკიდებულება რამდენიმე უახლესი ხაზები JavaScript ან შეშფოთებული დონეზე, უსაფრთხოების გუნდი არ შეუძლიათ იხილოთ.
