后患無窮：第三方腳本帶來的安全風險

第三方腳本攻擊利用的是第一方網站對第三方腳本的控制力不足和難以實現的全面監(jiān)測，造成較為嚴重的攻擊后果。除此之外，第三方腳本還會帶來一些其他的潛在隱患。綜合來看，第三方腳本帶來的安全風險通常有以下幾種：

數據竊取。數據竊取是在用戶端通過腳本竊取用戶的個人數據和賬單數據的一種釣魚攻擊。2019年第四季度，某北美大型零售商的支付頁面被攻擊者盜取了姓名、電話、郵件和信用卡號碼、安全碼和過期日期等。

意外泄漏。意外泄漏指應用意外收集用戶敏感數據導致的合規(guī)風險。2019年第四季度，某國際零售商網站上出現了不安全腳本，使得任何人都可以通過Web瀏覽器訪問該網站近1．3 TB的數據，包括用戶的IP、住址、郵箱地址和在網站的活動軌跡。此外，這還可能會引發(fā)針對性的網絡釣魚攻擊。

已知漏洞（CVE）。這是指在真實使用場景中，腳本已經暴露出漏洞，但未能得到及時修復。2019年第四季度，某旅游服務商在一次第三方腳本攻擊的15天內暴露了30多萬用戶的個人信息，導致百萬美金的罰款。而造成此次攻擊的漏洞就來自于已知的腳本漏洞，并且該漏洞已在此前導致過數據泄漏。

防患于未然：多管齊下防范第三方腳本安全隱患

由此可見，第三方腳本帶來的種種安全風險為各種類型的網絡攻擊提供了“溫床”，但其自身又往往處于“隱秘的角落”，較難控制和監(jiān)測。但對于這樣的風險，企業(yè)并非完全束手無策，目前有四種常用的應對方法，以將第三方腳本帶來的安全風險“扼殺在搖籃中”。

第一種方法是內容安全策略（CSP）白名單。內容安全策略是通過白名單的方式，檢測和監(jiān)控來自第三方的安全隱患，適用于能夠嚴格遵守該策略的企業(yè)，且以防御為主。但該方法也存在一定弊端，一是如果可信的第三方被利用并成為攻擊媒介，這種策略就無法起到應有效果；二是該策略在實際操作中較難實施和維護，需要持續(xù)的手段分析和測試，如果策略設置得過于嚴格也將產生誤報；三是如果對于通用云存儲和開源項目中的資源設置白名單，會進一步增加網站的“脆弱性”。

第二種方法是仿真測試掃描。仿真測試掃描是一種離線的策略方法，適用于簡單的網站及策略更新時。但實行該方法仍然需要持續(xù)的手動分析和測試。

第三種方法是訪問控制／沙盒。訪問控制／沙盒的方式適用于頁面簡單或頁面數量較少、不包含個人驗證信息的網站。該方法可以與內容安全策略結合使用，同時也需要持續(xù)的手動分析和測試。

第四種方法是應用程序內檢測。其檢測腳本的行為、可疑的活動，著力于快速緩解攻擊、減少對業(yè)務的影響。這也是Akamai認為有效的腳本保護方式之一。持續(xù)的手動分析和測試在現實場景下較難實現，應用程序內檢測則是一個獨立于平臺且自動的、不斷演進的安全威脅檢測方式，并且不依靠于訪問控制方法，真正能夠做到保障網站安全。舉例而言，對于Magecart攻擊來說，這種方式能夠檢測可疑的行為，并且易于管理和設置，讓企業(yè)的網站始終處于監(jiān)測狀態(tài)、隨時在線。另外，它還能夠排除干擾信息，根據已知的安全威脅提供情報，避免“重蹈覆轍”。最后，針對訪問的控制策略，該方法也會根據反饋不斷進行更新。

隨著第三方腳本成為現代網站的“必需品”，針對第三方腳本的攻擊發(fā)生得也越來越頻繁，且往往給企業(yè)帶來巨大損失。企業(yè)應當保持警惕，使用諸如Request Map這樣的工具檢測網站頁面第三方腳本的數量，并對網站頁面的第三方腳本予以監(jiān)視，哪怕該腳本來自受信任的第三方也是如此。同時，企業(yè)應考慮適用自身網站的腳本管理方式，進行第三方腳本行為檢測，實施管理和風險控制，并將應用程序內的腳本保護與訪問控制解決方案結合起來，協(xié)同運行。

Akamai最近推出的Page Integrity Manager為Akamai客戶提供了管理腳本（包括第一方、第三方乃至第n方腳本）風險所需的檢測能力，以及根據客戶自身獨特需要制定業(yè)務決策所必不可少的實用信息 。

來源：C114通信網