假設(shè)一家企業(yè)建立了一個面向最終消費者的在線商務(wù)網(wǎng)站�。在自行開發(fā)了網(wǎng)站所必須的瀏覽�����、購買�、下單付款等基礎(chǔ)功能后,為了進(jìn)一步改善用戶體驗��,這個網(wǎng)站可能還需要一些輔助功能�。
假設(shè)一家企業(yè)建立了一個面向最終消費者的在線商務(wù)網(wǎng)站。在自行開發(fā)了網(wǎng)站所必須的瀏覽���、購買�����、下單付款等基礎(chǔ)功能后����,為了進(jìn)一步改善用戶體驗��,這個網(wǎng)站可能還需要一些輔助功能����。
就這樣,一個功能完備的在線商務(wù)網(wǎng)站�,除了商家自行開發(fā)和控制的內(nèi)容外,不可避免需要嵌入大量無法由商家直接控制的第三方腳本����。此時�,您是否會好奇這樣一個問題:用戶實際訪問的網(wǎng)站和所獲得的體驗���,與您最初的預(yù)期是否完全一致�?
時至今日�,大部分網(wǎng)站都依賴第三方JavaScript腳本來提供用戶期望的動態(tài)體驗。無論是將客戶數(shù)據(jù)轉(zhuǎn)化為個性定制的瀏覽體驗���,跟蹤和重定向訪客以增加網(wǎng)站流量��,還是向外鏈接到社交媒體平臺�,第三方腳本已經(jīng)深度嵌入在目前的大多數(shù)網(wǎng)站和應(yīng)用程序中���。
根據(jù)Akamai的一項統(tǒng)計�,Akamai客戶網(wǎng)站頁面中����,所有頁面資源中約有67%的內(nèi)容屬于第三方腳本;而超過80%的網(wǎng)頁至少包含一個已知的第三方庫安全漏洞(CVE)�。
由于企業(yè)無法直接控制第三方腳本的具體內(nèi)容和行為,因此無論腳本自身存在安全漏洞����,或通過后續(xù)更新產(chǎn)生了商家不希望的行為或操作,對商家而言這都會造成難以輕易發(fā)現(xiàn)并杜絕的風(fēng)險�����,例如用戶數(shù)據(jù)被竊取或泄露��,或因為漏洞遭遇更復(fù)雜的攻擊����。
這樣的威脅其實已經(jīng)發(fā)生了。英國一家航空公司的網(wǎng)站����,就因為第三方腳本的漏洞被黑客部署了跨站點攻擊腳本,通過注入黑客的惡意代碼改變網(wǎng)站行為��,黑客成功地將該航空公司客戶地數(shù)據(jù)劫持并發(fā)送到自己控制的服務(wù)器上�,最終造成38萬筆訂單的詳細(xì)信息被泄露。經(jīng)媒體披露��,該航空公司不僅名譽(yù)受損�����,最終還被罰款1.83億英鎊。
這種攻擊的風(fēng)險和后果有多嚴(yán)重����?我們可以通過兩個真實案例獲得更直觀的感受。
在Akamai幫助某家電商客戶應(yīng)對的一次Megacart攻擊中��,該電商的網(wǎng)站支付頁面被插入了惡意代碼�����。據(jù)分析���,當(dāng)用戶訪問支付頁并輸入信息時�����,惡意代碼會記錄用戶輸入的全部信息并外傳到黑客指定的位置����。因為WAF類型的安全產(chǎn)品無法實時監(jiān)控在瀏覽器端的腳本行為��,因此這樣的攻擊往往顯得非常隱蔽��,不易于察覺�,但后果則通常都是“毀滅性”的����。
第三方腳本導(dǎo)致的用戶信息外泄問題同樣嚴(yán)重��。Akamai的某家客戶曾經(jīng)遭遇過第三方腳本發(fā)起的Telegram bot數(shù)據(jù)外泄事件��。這個第三方腳本會記錄用戶輸入的PII數(shù)據(jù)(如信用卡信息等)��,并借助Telegram API外傳���。
作為一種專門竊取信息的腳本,只有在用戶真正輸入信息��,也就是在網(wǎng)頁上鍵入信息內(nèi)容��,并按下回車鍵的那一刻才會開始運(yùn)作����,因此常規(guī)測試工作可能很難察覺。
要阻止上述這種基于第三方腳本的數(shù)據(jù)竊取攻擊��,企業(yè)必須首先知道發(fā)生了此類攻擊���。但由于此類攻擊的秘密性�����,這一點非常具有挑戰(zhàn)性�。
發(fā)生攻擊時,企業(yè)需要確切知道如何緩解這種情況����,并能夠迅速采取措施以防止威脅演變成大規(guī)模的用戶敏感信息泄露。同時需要注意��,能夠在檢測到攻擊時立即阻止攻擊的自動化解決方案才是最安全的方法���。
而為了獲得持續(xù)保護(hù)��,企業(yè)需要能夠輕松識別網(wǎng)頁供應(yīng)鏈中包含已知漏洞的腳本��。只有盡早發(fā)現(xiàn)潛在問題�,才能在安全漏洞被網(wǎng)絡(luò)犯罪分子入侵前發(fā)現(xiàn)漏洞并加以修復(fù)���。
好在����,對于上述兩個案例,以及其他遭遇類似困擾的Akamai客戶���,已經(jīng)在Page Integrity Manager的幫助下妥善解決了問題�����。
Akamai Page Integrity Manager(下文簡稱為PIM)是一種實時的真實用戶行為檢測技術(shù)���,可自動識別并幫助阻止基于腳本的數(shù)據(jù)盜竊,防止發(fā)生此類問題���。
PIM在用戶瀏覽器中運(yùn)行,監(jiān)視受保護(hù)頁面中的所有腳本執(zhí)行過程����。當(dāng)腳本出現(xiàn)行為變化時,將使用機(jī)器學(xué)習(xí)技術(shù)來評估未經(jīng)授權(quán)或不當(dāng)?shù)牟僮魉鶐淼娘L(fēng)險���。出現(xiàn)高風(fēng)險事件時����,解決方案會向安全團(tuán)隊發(fā)送警報以及足夠的信息���,幫助他們制定有效的緩解決策����。
借此即可識別有漏洞的資源,檢測可疑行為并阻止惡意活動����,幫助網(wǎng)站抵御JavaScript威脅。通過檢測被入侵的JavaScript行為����,該產(chǎn)品可最大限度地降低用戶數(shù)據(jù)被盜的風(fēng)險以及對用戶體驗的負(fù)面影響。借助切實可行的即時見解���,安全團(tuán)隊能夠快速地了解基于腳本的威脅并采取相應(yīng)的措施���。
總的來說,PIM可通過檢測����、報告和主動防御三個環(huán)節(jié)幫助用戶有效杜絕第三方網(wǎng)頁腳本所帶來的風(fēng)險。
檢測:當(dāng)用戶將PIM部署到自己的網(wǎng)站后���,PIM會立即開始跟蹤頁面上的第三方腳本(甚至可跟蹤第一方腳本的某些行為)�,并檢查是否存在“信息外傳”的事件。同時PIM會將所有的腳本信息進(jìn)行窮舉��,并監(jiān)控瀏覽器插件����,此外還會列出與網(wǎng)站交互的某些“信譽(yù)差”的域名。
報告:如果發(fā)現(xiàn)泄露事件���,PIM會進(jìn)行實時告警�����,通過警報告訴用戶這個事件發(fā)生在哪個頁面上�,有哪些信息被外泄��,以及會產(chǎn)生怎樣的影響����。借此用戶可以清晰了解到什么樣的數(shù)據(jù)被讀取了����,以及什么樣的數(shù)據(jù)以何種方式被外傳了。同時警報中還會提供一些實用的鏈接�����,方便用戶快速查看相關(guān)詳情并立即采取措施。作為一款PCIDSS合規(guī)的工具����,PIM本身并不會存儲用戶的敏感信息,而只會檢測是否發(fā)生了某些事件(如腳本讀取了哪一類型的敏感數(shù)據(jù))��。
主動防御:PIM還具備了一些主動防御功能���,可通過設(shè)置讓用戶直接拒絕某些第三方域名�,或拒絕某些域名訪問敏感的Cookie或讀取網(wǎng)頁表單中的敏感數(shù)據(jù)����。
免費試用,給您的網(wǎng)站做個全面體檢
Akamai Page Integrity Manager是一款實時的腳本行為檢測工具����,可自動識別并幫助阻止基于腳本的數(shù)據(jù)盜竊,防止發(fā)生此類問題���。
PIM易于實施和操作���,可持續(xù)的分析網(wǎng)站上所有JavaScript行為���。當(dāng)檢測到可疑腳本行為時,網(wǎng)站運(yùn)營者會立即收到通知����,并獲得有關(guān)如何消除威脅的建議。您可以一鍵輕松緩解威脅�����,實時防御信息泄漏��。
經(jīng)過特別的設(shè)計�����,PIM可以立即部署并運(yùn)行����,無需對應(yīng)用程序做出造成中斷的變更��。從安裝之時起�,它始終處于運(yùn)行狀態(tài),始終位于正確的位置�����,始終幫助用戶抵御來自第三方網(wǎng)頁腳本的風(fēng)險和攻擊。
立即登錄����,閱讀全文
版權(quán)說明:
本文內(nèi)容來自于Akamai,本站不擁有所有權(quán)����,不承擔(dān)相關(guān)法律責(zé)任。文章內(nèi)容系作者個人觀點�����,不代表快出海對觀點贊同或支持�。如有侵權(quán),請聯(lián)系管理員(zzx@kchuhai.com)刪除��!
閩公網(wǎng)安備 35010202001226號
