最近由于GDPR和其他隐私法规的生效，人们急于加强对消费者数据的保护，企业已经加强了其平台，以更好地保护和保护用户数据。但是够了吗?作为企业主，企业家或经理，您需要了解什么?最新的漏洞报告证明，即使主要的电子商务和社交平台也很容易成为跨站点脚本(或XSS)攻击的攻击媒介，即使平台本身是安全的，也会发生这种情况。由于主要面向客户的平台使用了第三方应用程序提供商中的漏洞，因此用户数据暴露给恶意播放器的风险增加了。不幸的是，这是我们所有人面临的风险。

数据隐私制度

也许2018年最大的科技新闻是《欧洲通用数据保护条例》的执行，该条例旨在保护欧盟公民的个人数据免遭未经同意的收集和使用。使用GDPR，任何处理有关欧盟公民数据或将欧盟公民视为客户的企业，都需要明确告知上述用户数据收集工作，并寻求这样做的明确内容。

GDPR甚至在欧洲以外也产生了影响，因为任何向欧盟公民或居民提供服务的业务都需要遵守。另外，考虑到最近消费者和企业对数据隐私的关注，在全球范围内也有许多针对隐私的法规正在生效，这些都是保护我们的好事。

但是，即使越来越注重增强隐私性，当企业将用户数据丢失给恶意黑客时，仍然存在很多风险。对于一个人来说，鉴于服务的协作性质(例如，使用支付处理器或物流提供商的电子商务商店)，此处最薄弱的环节是可能引入潜在违约行为的服务。在这方面，一旦第三方应用程序使用户面临风险，整个操作可能就已经受到威胁。

简而言之XSS

在最简单的解释中，XSS攻击是数据注入的一种形式，其中，攻击者将恶意的客户端代码注入到其他合法网站中。这是通过将代码(通常为JavaScript)注入网站或Web应用程序的输出中来实现的，通常通过诸如搜索字段，反馈表单，论坛文本输入字段甚至是存储在用户浏览器中的cookie之类的表单进行工作。

当毫无戒心的用户访问受影响的网站时，注入的代码有可能传递有效负载，其中包括执行代码，窃取数据，控制用户的会话或为计算机系统或网络安装后门。

此类攻击是由当今网站的交互性所引起的。在单个会话中浏览器和服务器之间的众多交互中，XSS甚至可以用于从第三方网站提取内容，使用现有的cookie数据(可以包括用户名和密码)或直接与应用程序的客户端进行交互流程。

哪些平台易受攻击?

VPN Mentor于2018年底报道，最近在著名的社交网络和电子商务网站(包括Tinder，Shopify和Yelp)上发现了最近的DOM-XSS(文档对象模型-XSS)漏洞，使全球多达6.85亿用户遭受数据盗窃。

通过深入研究潜在的风险程度，安全研究人员发现XSS漏洞包括汇款服务Western Union和图像共享服务Imgur。受漏洞影响的其他服务包括Canva，Letgo，Lookout，Fair，Amazon Music，TicketMaster和Reddit等。

假定薄弱点起源于第三方移动链接平台，该平台统一了不同设备和渠道上的用户体验。该服务为其合作伙伴站点(包括上面列出的站点)有一个别名子域，单击指向这些子域的链接可能使用户容易受到恶意黑客注入的脚本的数据盗窃的攻击。

企业和用户可以做什么?

所涉及的公司在收到XSS风险报告后立即纠正了潜在的漏洞。但是，这排除了攻击者可能已经发现此漏洞并利用它来窃取数据的可能性。因此，这意味着最近使用过或定期使用上述服务(例如Tinder)的用户需要仔细检查其帐户是否未受到损害。更改密码和清除浏览器缓存/ cookie可能是一个好主意。

同时，对于企业-尤其是那些运行面向消费者的平台的企业，甚至是那些利用网站供员工访问的企业-正如XC与《计算机周刊》所解释的，有几种方法可以最大程度地降低风险。这涉及到构建具有紧密安全性开发生命周期的应用程序。这意味着不断进行构建和更新，以减少或消除设计和编码中与安全相关的错误。这也意味着假设应用程序正在接收的所有数据都可能来自不受信任的来源，即使这些数据来自已经登录并经过身份验证的用户也是如此。

因此，企业家，企业主和经理可以采用的一些变更包括：

不要盲目地信任用户输入。这意味着只要此类数据跨越信任边界，就不断验证其输入的类型，长度，格式和数据范围。

减少客户端的输入，以防止传递不需要的代码或字符集的可能性;

将网页的字符集设置为最低限度(ISO-8859-1)，足以支持英语和大多数欧洲语言;

在访问关键服务之前要求用户重新认证;

如果检测到来自多个IP地址的访问，则立即终止登录会话;

利用漏洞扫描程序实时跟踪此类风险;

在应用程序或网站上线之前进行渗透测试。

外卖

由于XSS攻击已成为头条新闻，因此有必要将重点放在预防安全风险上，尤其是考虑到呼吁提供更好的数据隐私和保护。鉴于大多数网站都没有客户端脚本将无法运行，因此今天这一点非常重要。

如果仍然无法解决问题，请确保与您的网站管理员联系，并指导他或她介绍有关数据保护的这些重要要点。知道主要的社交网络和服务实际上已经受到大型XSS攻击的风险，因此企业和用户都必须主动地进行安全性防范。