Akamai：第三方腳本，便利與風(fēng)險并存

現(xiàn)在很多網(wǎng)站都會使用第三方JavaScript腳本的方式來增強其應(yīng)用功能。通常情況下，這種嵌入到網(wǎng)站中的腳本可以方便直接地從第三方服務(wù)提供商的域中加載，實現(xiàn)對當(dāng)前網(wǎng)站的優(yōu)化和功能增強。然而，這種嵌入到很多網(wǎng)站中的第三方腳本往往會導(dǎo)致非常危險的攻擊面，可以令這些網(wǎng)站更易遭受潛在攻擊。

早在2017年的統(tǒng)計就發(fā)現(xiàn)，平均每個網(wǎng)頁包含48個第一方腳本，但同時也會包含62個第三方腳本。從2011年到2018年這七年間，第三方腳本的請求數(shù)量增長了140%，而第三方腳本的大小增長了706%！

由于這些腳本來自第三方，網(wǎng)站根本無權(quán)也無法控制，一旦有任何存在弱點的第三方腳本被黑客利用，都可能導(dǎo)致使用該腳本的所有網(wǎng)站受到威脅。據(jù)統(tǒng)計，超過80%的頁面至少會包含一個已知的第三方安全漏洞。

2019年，一系列難以檢測到的腳本攻擊（稱為Magecart）入侵了17,000多個域，其中2,000個域來自世界上最大的網(wǎng)站。

我們針對一家公司的單個Magecart攻擊進行分析后發(fā)現(xiàn)：

僅僅是在其網(wǎng)站的JavaScript中插入了22行代碼，便導(dǎo)致成千上萬名客戶的數(shù)據(jù)泄露。而這些數(shù)據(jù)在暗網(wǎng)中以10美元一條的價格出售，黑客獲得的收益估計達1200萬美元，而遭受攻擊的公司最終承擔(dān)了2.29億美元的罰款！

看到上面的數(shù)據(jù)，您還認為自己不容易受到JaveScript的攻擊么？還認為此類攻擊只會帶來微不足道的損失么？如果您使用第三方腳本執(zhí)行以下操作，那么您需要重新思考這些問題：

·將客戶數(shù)據(jù)轉(zhuǎn)化為更加定制化的體驗

·主動跟蹤和重新定向訪客，用以增加訪問量

·將您的網(wǎng)站和應(yīng)用程序連接到社交媒體

3個步驟抵御JaveScript攻擊

基于腳本的攻擊之所以能夠成功實施，是因為無法察覺到的攻擊很難阻止。在JavaScript中注入的惡意代碼通常看起來無害。如果沒有合適的安全工具，這類惡意代碼可在數(shù)天、數(shù)周甚至數(shù)月內(nèi)運行而不被檢測到，同時完成敏感用戶信息盜取并發(fā)送回網(wǎng)絡(luò)犯罪分子的命令和控制服務(wù)器。

為了有效地阻止基于腳本的攻擊并保護企業(yè)免受此類攻擊造成的代價高昂的業(yè)務(wù)中斷，以下三點策略是您的最佳防御措施：

·實時檢測基于腳本的威脅

·在產(chǎn)生負面影響之前阻止攻擊

·識別易受攻擊的資源以防今后受到攻擊

Akamai提供了一種新的第三方JavaScript的實時評估服務(wù)，在短時間內(nèi)我們可以看到一組龐大的數(shù)據(jù)：

Akamai Page Integrity Manager提供了一種簡單而有效的防御措施，可抵御基于腳本的攻擊。Page Integrity Manager易于實施和操作，可自動實現(xiàn)：

·分析您的網(wǎng)站和應(yīng)用程序上的所有JavaScript行為

·即時針對威脅通知網(wǎng)站運營提供商

·實時識別可疑活動

·提供深入的見解，幫用戶化解難題，消除負面影響