网站上的第三方脚本为网络攻击者提供攻击媒介
世界上近一半的大型网站使用外部生成的JavaScript,这使它们成为网络攻击者窃取数据、窃取信用卡和执行其他恶意行为的目标。
Source Defense的新分析发现,在大多数网站上都存在大量第三方(甚至是第四方)脚本,它们相对容易被用来潜入恶意代码。许多组织可能比他们想象的更容易受到第三方JavaScript在他们网站上的风险。
通常情况下,当网页调用第三方脚本时,会直接从属于第三方的外部服务器直接加载到浏览器中。根据安全供应商的说法,这意味着该脚本绕过外部安全防御和web应用程序防火墙,以及网络监控工具等控件。使得威胁行为者可以通过第三方脚本将恶意代码引入企业开发环境中。然而,大多数组织使用的第三方脚本通常时免费的,而且来源复杂。
在对全球4300家最大网站的分析中,该公司发现,每个网站平均有15个外部生成的脚本,其中平均有12个位于敏感页面,比如收集用户信息或处理订单和支付的页面。在研究中,近一半(49%)的网站拥有具有检索表单输入和监控用户点击按钮功能的外部代码。超过20%的人拥有可以修改表单的外部代码。大多数网站在每个网页上都有多个脚本。
Source Defense发现,某些行业组织的网站的第三方脚本数量大大高于其他部门的平均数量。例如,金融服务网站的敏感页面上平均有19个脚本,比所有行业的平均水平高出60%。医疗机构平均有15个。
对攻击者有吸引力的攻击媒介
近年来,攻击者操纵或使用第三方脚本窃取用户和支付卡数据、将用户重定向到恶意站点、记录击键以及执行各种其他恶意活动的事件屡见不鲜。如黑客组织Magecart,多年来,它通过将读卡软件偷偷带入零售网站上的第三方脚本,窃取了数亿张支付卡的数据。
此类攻击可能对企业产生重大影响。例如,在2018年的一起事件中,Magecart黑客将几行代码潜入英国航空公司(British Airways)的一个网站页面,最终暴露了约38万名客户的个人数据。该航空公司随后因该事件被处以超过2亿美元的巨额罚款。
Blutrich称:“即使是世界上最大的网站,攻击媒介仍然是广泛和开放的,而且很可能造成重大物质损失。”
他指出,为了破坏第三方脚本,威胁行为者有时会渗透到公共代码库中。他说,在一些情况下,它们识别出拥有大型客户网络的组织,并从这些组织窃取脚本来实施一对多攻击。例如今年早些时候,苏富比(Sotheby)房地产部门的一个网站的云视频组件中植入了恶意软件,导致100多个与房地产相关的网站遭到攻击。
如何应对外部脚本风险
Blutrich 指出,用于减轻第三方和第四方脚本风险的企业流程的成熟度往往会有所不同。在某些情况下,软件开发团队和营销团队各自负责自己的模块,而不涉及安全性问题。
然而,在考虑安全的前提下,软件开发和安全/合规性应该合作起来,除了审查第三方供应链或开源库,也应对代码安全加强重视,避免因第三方库或组织代码缺陷导致重大的数据泄露问题。
来源:
https://www.darkreading.com/application-security/third-party-scripts-websites-broad-open-attack-vector