江苏龙网

  1. 首页 > 人文 > >

Akamai孟焯谈第三方脚本的安全风险与应对方式

【环球网科技报道 采访人员 林迪】“和其他以服务器为目标的攻击方式不同 , 第三方脚本攻击主要针对浏览器端发起攻击 。 这种攻击方式较为隐蔽 , 企业较难使用传统手段进行防御和打击 。 而一旦攻击者得手 , 造成的影响往往又是难以估量的 。 ”近日 , Akamai大中华区高级售前技术顾问孟焯对采访人员表示 。

Akamai孟焯谈第三方脚本的安全风险与应对方式
文章图片

孟焯指出 , 随着人们越来越依赖数字化工具 , 远程办公、学习、购物、娱乐等生活方式变为常态 , 网络威胁发起者也在关注线上活动的迅猛增长伺机而动 , 最终窃取终端用户个人信息并以此获利 。 作为易操纵且适用范围广的攻击方式 , 第三方脚本攻击正在快速流行 , 对包括电子商务、媒体出版业网站在内的众多网站形成威胁 。
据介绍 , 其中的代表Magecart攻击就“攻陷”过许多备受瞩目的网站 , 包括奥运会售票网站、英国航空、Ticketmaster等 。
网络攻击“重灾区”
数据显示 , 2011年至2018年间 , 网页页面中的第三方脚本大小增长了706% , 请求数增加了140% 。
“第三方脚本攻击的兴起源于第三方脚本的流行 。 为使用户获得更丰富、便捷的Web体验 , 越来越多的网站通过第三方脚本为用户提供支付、预订等服务 。 ” 孟焯解释称 , 一方面 , 这些脚本都是通过第三方进行功能维护和更新 , 对于第一方而言通常未知 , 因此为第一方网站的自身安全性埋下了隐患 。 另一方面 , 随着用户对网站功能多样化的需求增加 , 第三方脚本的大小与请求数正在飞速增长 , 这使得攻击面进一步扩大 。 “以Akamai官网为例 , 如果使用可视化工具‘Request Map’来展现页面上所有请求的来源 , 会发现网站中超过50%的脚本都是来自第三方的脚本 。 ”
具体而言 , 第三方脚本攻击往往从第三方、第四方网站开始 。 攻击者通过将恶意代码添加到第三方脚本更新中 , 从而“穿透”平台的必要安全检查(例如WAF) , 进入供应链交付 , 最终在第一方网站页面上窃取个人识别信息(PII) , 再通过执行恶意代码 , 把这些数据发回给攻击者 。
孟焯告诉采访人员:“当前 , 第三方脚本攻击中最‘臭名昭著’的莫过于Magecart攻击 。 该攻击以Magecart这一黑客组织命名 , 专门使用恶意代码通过污染第三方和第四方的脚本 , 从终端用户提交的支付表单中窃取支付信息 , 以获取经济利益 。 ”
据介绍 , Magecart攻击具备几个特点:第一 , 影响范围广 。 该攻击不仅针对大型支付网站 , 任何有支付业务、需要在页面中提交表单的网站 , 无论大小 , 均有可能遭受此类攻击 。 第二 , 攻击后果严重 。 该攻击“威力”巨大 , 单一攻击事件就可以造成数以千计的网站感染、百万个信息被盗取 。 在针对英国航空的Magecart攻击中 , 攻击者仅用22行脚本代码 , 就盗取了38万张信用卡的信息 , 相当于给犯罪分子送去1700多万美元的净收益 。 第三 , 攻击手段不断升级 。 最近一次已知的Magecart攻击发生在今年4月 , Magecart黑客团体采用名为“MakeFrame”的新型数据窃取器 , 将HTMLiframes注入网页中以获取用户付款数据 , 成功地破坏了至少19个不同的电子商务网站 。
据2019年《互联网安全威胁报告》显示 , 全球平均每个月有超过4800个不同的网站遭到类似的表单劫持代码入侵 。
潜在的安全风险
孟焯进一步指出 , 第三方脚本攻击利用的是第一方网站对第三方脚本的控制力不足和难以实现的全面监测 , 造成较为严重的攻击后果 。 此外 , 第三方脚本还会带来一些其他的潜在隐患 。
综合来看 , 第三方脚本带来的安全风险通常有以下几种:
数据窃取 。 数据窃取是在用户端通过脚本窃取用户的个人数据和账单数据的一种钓鱼攻击 。 2019年第四季度 , 某北美大型零售商的支付页面被攻击者盗取了姓名、电话、邮件和信用卡号码、安全码和过期日期等 。


推荐阅读


上一篇:LG电子多款新品亮相北京高端家电品鉴会

下一篇:「沈从文」不回消息的人,果断删除吧,卑微的爱情不要也罢