后患无穷:第三方脚本带来的安全风险
第三方脚本攻击利用的是第一方网站对第三方脚本的控制力不足和难以实现的全面监测,造成较为严重的攻击后果。除此之外,第三方脚本还会带来一些其他的潜在隐患。综合来看,第三方脚本带来的安全风险通常有以下几种:
数据窃取。数据窃取是在用户端通过脚本窃取用户的个人数据和账单数据的一种钓鱼攻击。2019年第四季度,某北美大型零售商的支付页面被攻击者盗取了姓名、电话、邮件和信用卡号码、安全码和过期日期等。
意外泄漏。意外泄漏指应用意外收集用户敏感数据导致的合规风险。2019年第四季度,某国际零售商网站上出现了不安全脚本,使得任何人都可以通过Web浏览器访问该网站近1.3 TB的数据,包括用户的IP、住址、邮箱地址和在网站的活动轨迹。此外,这还可能会引发针对性的网络钓鱼攻击。
已知漏洞(CVE)。这是指在真实使用场景中,脚本已经暴露出漏洞,但未能得到及时修复。2019年第四季度,某旅游服务商在一次第三方脚本攻击的15天内暴露了30多万用户的个人信息,导致百万美金的罚款。而造成此次攻击的漏洞就来自于已知的脚本漏洞,并且该漏洞已在此前导致过数据泄漏。
防患于未然:多管齐下防范第三方脚本安全隐患
由此可见,第三方脚本带来的种种安全风险为各种类型的网络攻击提供了“温床”,但其自身又往往处于“隐秘的角落”,较难控制和监测。但对于这样的风险,企业并非完全束手无策,目前有四种常用的应对方法,以将第三方脚本带来的安全风险“扼杀在摇篮中”。
第一种方法是内容安全策略(CSP)白名单。内容安全策略是通过白名单的方式,检测和监控来自第三方的安全隐患,适用于能够严格遵守该策略的企业,且以防御为主。但该方法也存在一定弊端,一是如果可信的第三方被利用并成为攻击媒介,这种策略就无法起到应有效果;二是该策略在实际操作中较难实施和维护,需要持续的手段分析和测试,如果策略设置得过于严格也将产生误报;三是如果对于通用云存储和开源项目中的资源设置白名单,会进一步增加网站的“脆弱性”。
第二种方法是仿真测试扫描。仿真测试扫描是一种离线的策略方法,适用于简单的网站及策略更新时。但实行该方法仍然需要持续的手动分析和测试。
第三种方法是访问控制/沙盒。访问控制/沙盒的方式适用于页面简单或页面数量较少、不包含个人验证信息的网站。该方法可以与内容安全策略结合使用,同时也需要持续的手动分析和测试。
第四种方法是应用程序内检测。其检测脚本的行为、可疑的活动,着力于快速缓解攻击、减少对业务的影响。这也是Akamai认为有效的脚本保护方式之一。持续的手动分析和测试在现实场景下较难实现,应用程序内检测则是一个独立于平台且自动的、不断演进的安全威胁检测方式,并且不依靠于访问控制方法,真正能够做到保障网站安全。举例而言,对于Magecart攻击来说,这种方式能够检测可疑的行为,并且易于管理和设置,让企业的网站始终处于监测状态、随时在线。另外,它还能够排除干扰信息,根据已知的安全威胁提供情报,避免“重蹈覆辙”。最后,针对访问的控制策略,该方法也会根据反馈不断进行更新。
随着第三方脚本成为现代网站的“必需品”,针对第三方脚本的攻击发生得也越来越频繁,且往往给企业带来巨大损失。企业应当保持警惕,使用诸如Request Map这样的工具检测网站页面第三方脚本的数量,并对网站页面的第三方脚本予以监视,哪怕该脚本来自受信任的第三方也是如此。同时,企业应考虑适用自身网站的脚本管理方式,进行第三方脚本行为检测,实施管理和风险控制,并将应用程序内的脚本保护与访问控制解决方案结合起来,协同运行。
Akamai最近推出的Page Integrity Manager为Akamai客户提供了管理脚本(包括第一方、第三方乃至第n方脚本)风险所需的检测能力,以及根据客户自身独特需要制定业务决策所必不可少的实用信息 。
来源:C114通信网