创作

完善资料让更多小伙伴认识你,还能领取20积分哦, 立即完善>

3天内不再提示

第三方脚本成为网络攻击“重灾区”,多管齐下防范第三方脚本安全隐患

来源:C114通信网 作者:孟焯 2020-09-04 14:51 次阅读

新冠肺炎疫情带来的大量不确定性正让人们越发依赖数字化工具,并使远程办公、学习、购物、娱乐等生活方式变为常态,随着人们对互联网的依赖达到了前所未有的程度,网络威胁发起者也在关注线上活动的迅猛增长,伺机而动,窃取终端用户个人信息并以此获利。作为易操纵且适用范围广的攻击方式,第三方脚本攻击正在快速流行,对包括电子商务、媒体出版业网站在内的众多网站形成威胁。

和其他以服务器为目标的攻击方式不同,第三方脚本攻击主要针对浏览器端发起攻击。这种攻击方式较为隐蔽,企业较难使用传统手段进行防御和打击。而一旦攻击者得手,造成的影响往往又是难以估量的。其中的代表Magecart攻击就“攻陷”过许多备受瞩目的网站,包括奥运会售票网站、英国航空、Ticketmaster等。RiskIQ的一项研究显示,疫情爆发的前几个月,Magecart攻击数量增长了20% 。鉴于第三方脚本攻击形势愈加严峻,加上在线服务使用的继续增加为攻击者提供更多可乘之机,企业须做好充分的防范准备,应对这一迫在眉睫的新型网络攻击威胁。

第三方脚本成为网络攻击“重灾区”

第三方脚本攻击的兴起源于第三方脚本的流行。为使用户获得更丰富、便捷的Web体验,越来越多的网站通过第三方脚本为用户提供支付、预订等服务。一方面,这些脚本都是通过第三方进行功能维护和更新,对于第一方而言通常未知,因此为第一方网站的自身安全性埋下了隐患。另一方面,随着用户对网站功能多样化的需求增加,第三方脚本的大小与请求数正在飞速增长,这使得攻击面进一步扩大。数据显示,2011年至2018年间,网页页面中的第三方脚本大小增长了706%,请求数增加了140% 。以Akamai官网为例,如果使用可视化工具“Request Map” 来展现页面上所有请求的来源,会发现网站中超过50%的脚本都是来自第三方的脚本。

具体而言,第三方脚本攻击往往从第三方、第四方网站开始。攻击者通过将恶意代码添加到第三方脚本更新中,从而“穿透”平台的必要安全检查(例如WAF),进入供应链交付,最终在第一方网站页面上窃取个人识别信息(PII),再通过执行恶意代码,把这些数据发回给攻击者。

当前,第三方脚本攻击中最“臭名昭著”的莫过于Magecart攻击。该攻击以Magecart这一黑客组织命名,专门使用恶意代码通过污染第三方和第四方的脚本,从终端用户提交的支付表单中窃取支付信息,以获取经济利益。其具备以下几个特点:

第一,影响范围广。该攻击不仅针对大型支付网站,任何有支付业务、需要在页面中提交表单的网站,无论大小,均有可能遭受此类攻击。第二,攻击后果严重。该攻击“威力”巨大,单一攻击事件就可以造成数以千计的网站感染、百万个信息被盗取。在针对英国航空的Magecart攻击中,攻击者仅用22行脚本代码,就盗取了38万张信用卡的信息,相当于给犯罪分子送去1700多万美元的净收益 。第三,攻击手段不断升级。最近一次已知的Magecart攻击发生在今年4月,Magecart黑客团体采用名为“MakeFrame”的新型数据窃取器,将HTML iframes注入网页中以获取用户付款数据,成功地破坏了至少19个不同的电子商务网站 。

事实上,像Magecart攻击这样的“表单劫持类”第三方脚本攻击还有很多种,例如黑客针对优化电商转换率的分析服务Picreel和开源项目Alpaca Forms发起的攻击都属于这一范畴。2019年5月,攻击者通过修改Picreel和Alpaca Forms的JavaScript文件,在超过4600个网站上嵌入恶意代码,“劫持”用户提交的表单 。这种情况愈演愈烈,根据2019年《互联网安全威胁报告》,全球平均每个月有超过4800个不同的网站遭到类似的表单劫持代码入侵 。

后患无穷:第三方脚本带来的安全风险

第三方脚本攻击利用的是第一方网站对第三方脚本的控制力不足和难以实现的全面监测,造成较为严重的攻击后果。除此之外,第三方脚本还会带来一些其他的潜在隐患。综合来看,第三方脚本带来的安全风险通常有以下几种:

数据窃取。数据窃取是在用户端通过脚本窃取用户的个人数据和账单数据的一种钓鱼攻击。2019年第四季度,某北美大型零售商的支付页面被攻击者盗取了姓名、电话、邮件和信用卡号码、安全码和过期日期等。

意外泄漏。意外泄漏指应用意外收集用户敏感数据导致的合规风险。2019年第四季度,某国际零售商网站上出现了不安全脚本,使得任何人都可以通过Web浏览器访问该网站近1.3 TB的数据,包括用户的IP、住址、邮箱地址和在网站的活动轨迹。此外,这还可能会引发针对性的网络钓鱼攻击。

已知漏洞(CVE)。这是指在真实使用场景中,脚本已经暴露出漏洞,但未能得到及时修复。2019年第四季度,某旅游服务商在一次第三方脚本攻击的15天内暴露了30多万用户的个人信息,导致百万美金的罚款。而造成此次攻击的漏洞就来自于已知的脚本漏洞,并且该漏洞已在此前导致过数据泄漏。

防患于未然:多管齐下防范第三方脚本安全隐患

由此可见,第三方脚本带来的种种安全风险为各种类型的网络攻击提供了“温床”,但其自身又往往处于“隐秘的角落”,较难控制和监测。但对于这样的风险,企业并非完全束手无策,目前有四种常用的应对方法,以将第三方脚本带来的安全风险“扼杀在摇篮中”。

第一种方法是内容安全策略(CSP)白名单。内容安全策略是通过白名单的方式,检测和监控来自第三方的安全隐患,适用于能够严格遵守该策略的企业,且以防御为主。但该方法也存在一定弊端,一是如果可信的第三方被利用并成为攻击媒介,这种策略就无法起到应有效果;二是该策略在实际操作中较难实施和维护,需要持续的手段分析和测试,如果策略设置得过于严格也将产生误报;三是如果对于通用云存储和开源项目中的资源设置白名单,会进一步增加网站的“脆弱性”。

第二种方法是仿真测试扫描。仿真测试扫描是一种离线的策略方法,适用于简单的网站及策略更新时。但实行该方法仍然需要持续的手动分析和测试。

第三种方法是访问控制/沙盒。访问控制/沙盒的方式适用于页面简单或页面数量较少、不包含个人验证信息的网站。该方法可以与内容安全策略结合使用,同时也需要持续的手动分析和测试。

第四种方法是应用程序内检测。其检测脚本的行为、可疑的活动,着力于快速缓解攻击、减少对业务的影响。这也是Akamai认为有效的脚本保护方式之一。持续的手动分析和测试在现实场景下较难实现,应用程序内检测则是一个独立于平台且自动的、不断演进的安全威胁检测方式,并且不依靠于访问控制方法,真正能够做到保障网站安全。举例而言,对于Magecart攻击来说,这种方式能够检测可疑的行为,并且易于管理和设置,让企业的网站始终处于监测状态、随时在线。另外,它还能够排除干扰信息,根据已知的安全威胁提供情报,避免“重蹈覆辙”。最后,针对访问的控制策略,该方法也会根据反馈不断进行更新。

随着第三方脚本成为现代网站的“必需品”,针对第三方脚本的攻击发生得也越来越频繁,且往往给企业带来巨大损失。企业应当保持警惕,使用诸如Request Map这样的工具检测网站页面第三方脚本的数量,并对网站页面的第三方脚本予以监视,哪怕该脚本来自受信任的第三方也是如此。同时,企业应考虑适用自身网站的脚本管理方式,进行第三方脚本行为检测,实施管理和风险控制,并将应用程序内的脚本保护与访问控制解决方案结合起来,协同运行。

Akamai最近推出的Page Integrity Manager为Akamai客户提供了管理脚本(包括第一方、第三方乃至第n方脚本)风险所需的检测能力,以及根据客户自身独特需要制定业务决策所必不可少的实用信息

责任编辑:gt

  • 数据
    +关注

    关注

    8

    文章

    4585

    浏览量

    80035
  • IP
    IP
    +关注

    关注

    5

    文章

    852

    浏览量

    143233
收藏 人收藏

    评论

    相关推荐

    博世:挖掘数据价值 化被动为主动

    持续提升质量意识,不断创新、尝试新方案,致力于给客户提供更好质量保障的产品,始终是博世汽车电子人共同....
    的头像 博世汽车电子事业部 发表于 06-24 16:13 360次 阅读

    样本量大于30可以认为是正态分布吗

    我经常会被问到这么一个问题:样本量多大就不用进行正态性检验了。殊不知,这问题的本身就是错误的,并不是....
    发表于 06-24 15:30 7次 阅读
    样本量大于30可以认为是正态分布吗

    YBImageBrowser iOS图片浏览器

    ./oschina_soft/YBImageBrowser.zip
    发表于 06-24 14:38 8次 阅读
    YBImageBrowser iOS图片浏览器

    芯片IP机遇大爆发,安谋科技或将成为“领跑者”

    我国半导体产业正处于快速发展期,AI、5G、自动驾驶等新兴方向推动着产业的快速升级;但与此同时,我国....
    发表于 06-24 12:41 513次 阅读
    芯片IP机遇大爆发,安谋科技或将成为“领跑者”

    芯动科技量产LPDDR5/5X/DDR5 IP一站式解决方案

    日前,芯动科技率先突破10Gbps,以先进FinFet工艺量产了全球最快的LPDDR5/5X/DDR....
    的头像 芯动科技Innosilicon 发表于 06-24 11:55 328次 阅读

    区块哈希竞猜游戏系统开发加密哈希算法概述

      哈希算法(Hash function)又称散列算法,是一种从任何数据(文件、字符等)中创建小的数....
    的头像 搭建punk2558 发表于 06-24 09:51 45次 阅读
    区块哈希竞猜游戏系统开发加密哈希算法概述

    数据湖生态与数据智能峰会来袭 24日易华录有约

    ·数据湖生态与数据智能峰会来袭 6月24日易华录有约   ·   · ·   · ·   · ·  ....
    的头像 易华录 发表于 06-23 17:51 653次 阅读

    新思科技DesignDash解决方案帮助开发者更智慧地设计芯片

    新思科技的DesignDash数据可见性和机器学习(ML)引导设计优化解决方案正是为此而设计的。De....
    的头像 科技绿洲 发表于 06-23 15:22 182次 阅读
    新思科技DesignDash解决方案帮助开发者更智慧地设计芯片

    新华三连续四年位居IT统一运维软件市场榜首

    在数字化转型“深水区”,业务、技术体系和平台架构的日益复杂化和多元化,催生了云化、智能化的运维服务需....
    的头像 科技绿洲 发表于 06-23 14:43 313次 阅读

    LAC中文词法分析解决方案

    ./oschina_soft/lac.zip
    发表于 06-23 10:10 6次 阅读
    LAC中文词法分析解决方案

    M31円星科技开发验证完成超低功耗12纳米PCIe5.0高速接口IP

    全球硅智财供应商-円星科技 (M31 Technology,6643)近日宣布12纳米制程的PCI ....
    发表于 06-22 18:35 1396次 阅读
    M31円星科技开发验证完成超低功耗12纳米PCIe5.0高速接口IP

    Health Connect的概念、工作原理及使用方法

    从 MyFitnessPal 应用帮助您记录一日三餐,再到 Withings 产品为您呈现自身健康水....
    的头像 谷歌开发者 发表于 06-22 16:10 241次 阅读

    松下KAIROS云服务让V.LEAGUE联赛直播更受欢迎

    通过“KAIROS云服务”的应用,在日本顶级排球联赛V.LEAGUE的官方视频发布平台V.TV上,进....
    的头像 科技绿洲 发表于 06-22 15:38 139次 阅读

    踏歌智行实现了“虚拟安全员”系统对安全员的替代

    自今年3月以来,踏歌智行鄂尔多斯永顺宽体车无人运输项目顺利进入“安全员下车”常态化阶段,现已实现7X....
    的头像 科技绿洲 发表于 06-22 14:34 118次 阅读

    开源软件-DtCraft通用分布式编程系统

    ./oschina_soft/DtCraft.zip
    发表于 06-22 10:36 9次 阅读
    开源软件-DtCraft通用分布式编程系统

    西南交通大学与百度Apollo助力构建良性循环人才发展生态

     6月21日,特色985工程、211工程、首批“双一流”建设高校——西南交通大学与百度Apollo签....
    的头像 科技绿洲 发表于 06-22 10:29 341次 阅读

    VAIV完成对5G保障方面专家CanGo Networks的收购

    近日,VAIV很自豪地宣布,我们已经完成了对位于印度钦奈的 CanGo Networks 的收购。C....
    的头像 科技绿洲 发表于 06-22 10:15 234次 阅读

    DataReporter数据上报框架

    ./oschina_soft/DataReporter.zip
    发表于 06-21 11:28 10次 阅读
    DataReporter数据上报框架

    pg_lightool PostgresSQL数据坏块修复工具

    ./oschina_soft/gitee-pg_lightool.zip
    发表于 06-21 11:15 14次 阅读
    pg_lightool PostgresSQL数据坏块修复工具

    如何使用PCIe5.0/6.0 PHY IP在数据中心存储设计中实现U.2/U.3连接

    系统公司在设计服务器时面临的一个主要挑战,是升级存储架构以满足当前和未来的数据中心要求。这些升级包括....
    的头像 科技绿洲 发表于 06-21 11:05 229次 阅读
    如何使用PCIe5.0/6.0 PHY IP在数据中心存储设计中实现U.2/U.3连接

    链上智能合约Dapp开发技术部署

      合约是代码(它的功能)和数据(它的状态)的集合,存在于以太坊区块链的特定地址。合约账户能够在彼此....
    的头像 搭建punk2558 发表于 06-20 18:13 84次 阅读

    派拓网络帮助企业了解和防范可能面临勒索软件威胁

    近日,全球网络安全领导企业 Palo Alto Networks(派拓网络)(纳斯达克代码:PANW....
    的头像 科技绿洲 发表于 06-20 17:21 364次 阅读

    立功科技空间域控解决方案满足日益增长数据量需求

    车载网络连接不断变化,以满足市场对更安全、更环保、更互联、甚至完全自动驾驶汽车日益增长的需求。为适应....
    的头像 科技绿洲 发表于 06-20 17:11 361次 阅读
    立功科技空间域控解决方案满足日益增长数据量需求

    使用字符串和无符号整数来存储IP的具体性能分析

    在看高性能MySQL第3版(4.1.7节)时,作者建议当存储IPv4地址时,应该使用32位的无符号整....
    的头像 Android编程精选 发表于 06-20 16:35 183次 阅读

    MySQL用limit为什么会影响性能

    有一张财务流水表,未分库分表,目前的数据量为9555695,分页查询使用到了limit,优化之前的查....
    的头像 Linux爱好者 发表于 06-20 16:31 178次 阅读

    CBCT图像中的运动伪影成因

    运动伪影作为CBCT拍摄中最常见的伪影现象,受重视程度远低于金属伪影等其它类型伪影。究其原因还是因为....
    的头像 科技绿洲 发表于 06-20 15:34 630次 阅读

    新华三AD-NET解决方案赋能行业全面迈入云智原生时代

    近日,国际数据公司IDC发布《中国IT统一运维软件市场报告,2021H2》,报告显示,紫光股份旗下新....
    的头像 科技绿洲 发表于 06-20 11:11 347次 阅读

    广电运通以创新技术赋能粤港澳大湾区数字经济发展

    近日,广州市“百企千人”港澳大学生实习计划项目圆满结束,广电运通凭借优质的杰出人才引进服务以及创新的....
    的头像 科技绿洲 发表于 06-20 10:26 302次 阅读

    visionPro操作手册

    visionPro操作手册-IP设定等
    发表于 06-20 10:25 10次 阅读

    立得数字孪生真图立体防控解决方案为社会治安防控搭建数字孪生底座

    近日,立得空间承建的深圳市福田区重点部位信息采集及立体防控项目竣工验收。  
    的头像 科技绿洲 发表于 06-20 09:30 256次 阅读

    IP等级是什么,它的作用是什么

    什么是IP等级
    的头像 jf_13721959 发表于 06-19 15:59 57次 阅读
    IP等级是什么,它的作用是什么

    上邦医疗与数码大方合作CAXA 3D+PLM协同管理项目正式启动

    近日,重庆上邦医疗设备有限公司(以下简称“上邦医疗”)CAXA 3D+PLM协同管理项目正式启动。本....
    的头像 科技绿洲 发表于 06-16 14:13 245次 阅读

    开源SPL的出现,将使报表数据准备的困难得到巨大的改观

    从报表工具的眼光上看,数据准备属于报表之外的事情,可以堂而皇之地拒绝处理。但是,拒绝不等于不存在,这....
    的头像 数据分析与开发 发表于 06-16 11:03 219次 阅读

    最佳的10名Python机器学习库

    根据官方介绍,Awkward Array用于嵌套的、大小不一的数据,包括任意长度的列表、记录、混合的....
    的头像 人工智能与大数据技术 发表于 06-15 11:44 262次 阅读

    在检索任务中训练数据在推理时也大有用处

    有点类似 Prompt 学习,但本文主要关注有监督学习的设置。结果不仅效果很好,而且很容易扩展(只要....
    的头像 深度学习自然语言处理 发表于 06-15 10:57 189次 阅读

    浪潮全闪存储保障医院关键系统需求可靠性和性能

    为了适应现代化医院的医疗、科研、教育和管理的要求,现代化的医院建立了以HIS、EMR、LIS(实验室....
    的头像 科技绿洲 发表于 06-15 09:50 981次 阅读

    eCapture用户态数据捕获工具

    ./oschina_soft/ecapture.zip
    发表于 06-15 09:19 15次 阅读
    eCapture用户态数据捕获工具

    SQL/JAVA/mybatisplus数据脱敏实现原理

    MYSQL(电话号码,身份证)数据脱敏的实现
    的头像 Android编程精选 发表于 06-14 17:09 345次 阅读

    CSP如何构建安全和云原生第三方安全

    客户和潜在客户通常会问,是采用云平台自行开发和提供的工具更好,还是购买第三方产品更好。答案当然不是二....
    的头像 科技绿洲 发表于 06-14 15:25 288次 阅读

    SOKey如何将数据并行转化为模型并行再转回数据并行

    在上期文章中,我们对 HugeCTR Sparse Operation Kit (以下简称SOK) ....
    的头像 科技绿洲 发表于 06-14 15:05 284次 阅读
    SOKey如何将数据并行转化为模型并行再转回数据并行

    数据运用下的建筑设计新视角

    通用场景描述(USD,Universal Scene Description)框架提供了一种 3D ....
    的头像 NVIDIA英伟达企业解决方案 发表于 06-14 11:32 354次 阅读

    新华三2022年第一季度服务器市场份额蝉联中国第二

    近日,IDC公布了《2022年第一季度中国服务器市场跟踪报告Prelim》,紫光股份旗下新华三集团以....
    的头像 科技绿洲 发表于 06-14 11:04 639次 阅读

    IBM发布2022年全球AI采用指数市场调研报告

    近日,IBM 发布了针对全球七千多位(500位来自中国)对IT 决策有一定了解、影响力和决策力的企业....
    的头像 科技绿洲 发表于 06-14 10:54 743次 阅读

    Paxos算法的特性以及算法

    Google的粗粒度锁服务Chubby的设计开发者Burrows曾经说过:所有一致性协议本质上要么是....
    的头像 马哥Linux运维 发表于 06-13 17:45 358次 阅读

    蘑菇车联“车路云一体化”系统级方案助于提升全局效率最优决策

    自动驾驶技术有望提升出行安全性,但要想解决上述问题并不容易。单车智能仅依靠车端感知、计算设备等,存在....
    的头像 科技绿洲 发表于 06-13 09:58 1221次 阅读

    Prime BSI EXpress背照式sCMOS相机可满足各种工作需要

    荷兰特文特大学科学技术学院 自适应量子光学实验室在量子信息科学与技术的应用方面开展了先进的量子光物理....
    的头像 科技绿洲 发表于 06-12 17:35 594次 阅读

    曙光ParaStor为全国数千家客户管理着数EB存储空间

    作为数据生态系统最底层的存储系统,承担着数据安全地基的角色。纵观我国存储产业历程,以曙光为代表的本土....
    的头像 科技绿洲 发表于 06-12 15:45 397次 阅读

    华芯携手北斗星通共同打造自动驾驶高精定位产品级解决方案

    近期,华芯携手北斗星通旗下企业真点科技共创高精度定位生态,以厘米级定位精度赋能自动驾驶汽车。此次华芯....
    的头像 科技绿洲 发表于 06-12 15:21 437次 阅读

    安谋科技携手合作伙伴推动Arm IP在中国市场落地

    近日,安谋科技联席CEO刘仁辰博士一行到访中兴微电子,与中兴微电子总经理龙志军、副总经理石义军、副总....
    的头像 科技绿洲 发表于 06-10 17:53 505次 阅读

    星环科技入选 “2021年重点课题研究优秀课题报告”

    日前,中国证券业协会2021年重点课题研究优秀课题报告评选结果公示,星环科技联合银河证券申报的课题 ....
    的头像 科技绿洲 发表于 06-10 17:29 433次 阅读

    【飞控开发基础教程6】疯壳·开源编队无人机-SPI(六轴传感器数据获取)

    COCOFLY教程——疯壳·无人机·系列SPI(六轴传感器数据获取)             &nb...
    发表于 05-30 11:19 1642次 阅读
    【飞控开发基础教程6】疯壳·开源编队无人机-SPI(六轴传感器数据获取)

    http request请求不到接口数据是为什么?

    import http from '@ohos.net.http'; export function doList() {     const url     const httpRequ...
    发表于 04-25 10:15 1052次 阅读

    如何解决CAN发送数据发送不出去的问题啊

    在调试CAN,接收数据都没什么问题,但是发送那一块,有的时候rt_device_write的返回值为0,就是没发出去,这个应该怎么解决这...
    发表于 04-20 09:22 1646次 阅读

    请问FINSH是否具备输入/输出换向功能?

    有时候需要FINSH把接收到的数据保存到本地文件中,有时候需要从本地文件中导入输入命令或数据,FINSH是否有这个功能 ?...
    发表于 04-18 09:22 1340次 阅读

    如何获取bh1750软件包bh1750.c文件的光照强度数据?

    请问怎么将bh1750软件包2.0里的bh1750_read_light是光强的数据吗?(onenet_mqtt_upload_string("light", 这里应该是什么) < ...
    发表于 04-06 09:35 894次 阅读

    ListContainer代码获取高度不准怎么解决?

    int listContainerHeight = listContainer.getHeight(); 通过这个方法获得的方法,返回的数据和实际数据不一样, 有类似...
    发表于 03-23 10:19 621次 阅读

    LAN8720A无法接收数据是为什么?怎么解决?

      1.环境使用RT-Studio创建的标准F2工程,已经修改了HSE时钟。   RT版本:4.0.3   STM32CubeMX版本6.4 ...
    发表于 03-16 09:34 1921次 阅读

    数据文件合并

    第一次练手写的小工具,可以批量将大量测试数据文件合并成一个文档,以便后续处理,奉上源码,各位可自由发挥。 ...
    发表于 03-04 16:52 2958次 阅读
    数据文件合并

    数据的通信方式/同步方式有哪几种?

    数据的通信方式有哪几种? 数据的同步方式有哪几种? ...
    发表于 02-28 07:31 1274次 阅读

    机智云开发者平台生成的MCU代码注意事项相关资料推荐

    gizwitsHandle((dataPoint_t *)¤tDataPoint);        //这句话很重要  相当...
    发表于 02-11 07:12 1045次 阅读