侵權(quán)投訴
訂閱
糾錯(cuò)
加入自媒體

“防”字當(dāng)頭,第三方腳本的安全風(fēng)險(xiǎn)與應(yīng)對方式

孟焯 Akamai大中華區(qū)高級售前技術(shù)顧問

新冠肺炎疫情帶來的大量不確定性正讓人們越發(fā)依賴數(shù)字化工具,并使遠(yuǎn)程辦公、學(xué)習(xí)、購物、娛樂等生活方式變?yōu)槌B(tài),隨著人們對互聯(lián)網(wǎng)的依賴達(dá)到了前所未有的程度,網(wǎng)絡(luò)威脅發(fā)起者也在關(guān)注線上活動的迅猛增長,伺機(jī)而動,竊取終端用戶個(gè)人信息并以此獲利。作為易操縱且適用范圍廣的攻擊方式,第三方腳本攻擊正在快速流行,對包括電子商務(wù)、媒體出版業(yè)網(wǎng)站在內(nèi)的眾多網(wǎng)站形成威脅。

和其他以服務(wù)器為目標(biāo)的攻擊方式不同,第三方腳本攻擊主要針對瀏覽器端發(fā)起攻擊。這種攻擊方式較為隱蔽,企業(yè)較難使用傳統(tǒng)手段進(jìn)行防御和打擊。而一旦攻擊者得手,造成的影響往往又是難以估量的。其中的代表Magecart攻擊就“攻陷”過許多備受矚目的網(wǎng)站,包括奧運(yùn)會售票網(wǎng)站、英國航空、Ticketmaster等。RiskIQ的一項(xiàng)研究顯示,疫情爆發(fā)的前幾個(gè)月,Magecart攻擊數(shù)量增長了20% 。鑒于第三方腳本攻擊形勢愈加嚴(yán)峻,加上在線服務(wù)使用的繼續(xù)增加為攻擊者提供更多可乘之機(jī),企業(yè)須做好充分的防范準(zhǔn)備,應(yīng)對這一迫在眉睫的新型網(wǎng)絡(luò)攻擊威脅。

第三方腳本成為網(wǎng)絡(luò)攻擊“重災(zāi)區(qū)”

第三方腳本攻擊的興起源于第三方腳本的流行。為使用戶獲得更豐富、便捷的Web體驗(yàn),越來越多的網(wǎng)站通過第三方腳本為用戶提供支付、預(yù)訂等服務(wù)。一方面,這些腳本都是通過第三方進(jìn)行功能維護(hù)和更新,對于第一方而言通常未知,因此為第一方網(wǎng)站的自身安全性埋下了隱患。另一方面,隨著用戶對網(wǎng)站功能多樣化的需求增加,第三方腳本的大小與請求數(shù)正在飛速增長,這使得攻擊面進(jìn)一步擴(kuò)大。數(shù)據(jù)顯示,2011年至2018年間,網(wǎng)頁頁面中的第三方腳本大小增長了706%,請求數(shù)增加了140% 。以Akamai官網(wǎng)為例,如果使用可視化工具“Request Map” 來展現(xiàn)頁面上所有請求的來源,會發(fā)現(xiàn)網(wǎng)站中超過50%的腳本都是來自第三方的腳本。

具體而言,第三方腳本攻擊往往從第三方、第四方網(wǎng)站開始。攻擊者通過將惡意代碼添加到第三方腳本更新中,從而“穿透”平臺的必要安全檢查(例如WAF),進(jìn)入供應(yīng)鏈交付,最終在第一方網(wǎng)站頁面上竊取個(gè)人識別信息(PII),再通過執(zhí)行惡意代碼,把這些數(shù)據(jù)發(fā)回給攻擊者。

當(dāng)前,第三方腳本攻擊中最“臭名昭著”的莫過于Magecart攻擊。該攻擊以Magecart這一黑客組織命名,專門使用惡意代碼通過污染第三方和第四方的腳本,從終端用戶提交的支付表單中竊取支付信息,以獲取經(jīng)濟(jì)利益。其具備以下幾個(gè)特點(diǎn):

第一,影響范圍廣。該攻擊不僅針對大型支付網(wǎng)站,任何有支付業(yè)務(wù)、需要在頁面中提交表單的網(wǎng)站,無論大小,均有可能遭受此類攻擊。第二,攻擊后果嚴(yán)重。該攻擊“威力”巨大,單一攻擊事件就可以造成數(shù)以千計(jì)的網(wǎng)站感染、百萬個(gè)信息被盜取。在針對英國航空的Magecart攻擊中,攻擊者僅用22行腳本代碼,就盜取了38萬張信用卡的信息,相當(dāng)于給犯罪分子送去1700多萬美元的凈收益 。第三,攻擊手段不斷升級。最近一次已知的Magecart攻擊發(fā)生在今年4月,Magecart黑客團(tuán)體采用名為“MakeFrame”的新型數(shù)據(jù)竊取器,將HTML iframes注入網(wǎng)頁中以獲取用戶付款數(shù)據(jù),成功地破壞了至少19個(gè)不同的電子商務(wù)網(wǎng)站 。

事實(shí)上,像Magecart攻擊這樣的“表單劫持類”第三方腳本攻擊還有很多種,例如黑客針對優(yōu)化電商轉(zhuǎn)換率的分析服務(wù)Picreel和開源項(xiàng)目Alpaca Forms發(fā)起的攻擊都屬于這一范疇。2019年5月,攻擊者通過修改Picreel和Alpaca Forms的JavaScript文件,在超過4600個(gè)網(wǎng)站上嵌入惡意代碼,“劫持”用戶提交的表單 。這種情況愈演愈烈,根據(jù)2019年《互聯(lián)網(wǎng)安全威脅報(bào)告》,全球平均每個(gè)月有超過4800個(gè)不同的網(wǎng)站遭到類似的表單劫持代碼入侵 。

1  2  下一頁>  
聲明: 本文由入駐維科號的作者撰寫,觀點(diǎn)僅代表作者本人,不代表OFweek立場。如有侵權(quán)或其他問題,請聯(lián)系舉報(bào)。

發(fā)表評論

0條評論,0人參與

請輸入評論內(nèi)容...

請輸入評論/評論長度6~500個(gè)字

您提交的評論過于頻繁,請輸入驗(yàn)證碼繼續(xù)

  • 看不清,點(diǎn)擊換一張  刷新

暫無評論

暫無評論

安防 獵頭職位 更多
文章糾錯(cuò)
x
*文字標(biāo)題:
*糾錯(cuò)內(nèi)容:
聯(lián)系郵箱:
*驗(yàn) 證 碼:

粵公網(wǎng)安備 44030502002758號