Web 2.0 widgets:企業需保護Web插件的安全
Widget(微件),或小型Web應用程序,是深受用戶喜愛的、用于在不同的Web 2.0 網站上表現自我的工具或Web插件,如在Facebook和Twitter;同時,一些組織機構也利用它們來獲得其他網站的內容。但是,隨著web 2.0程序和Web插件日益成為商業活動中不可或缺的一部分,企業可能需要防范一些新的嚴重安全隱患。
在本文中,我們將闡述在將Widget 納入Web 2.0環境之前對其安全性進行評估,這將對企業保護網絡用戶、內部用戶,以及最終公司的聲譽方面帶來哪些好處。盡管Widget 也被用于合乎規則的商業用途(尤其是用于基礎如Facebook、Twitter、谷歌或其他第三方網站的內容方面),但它們同樣能夠被輕而易舉地用于散布惡意軟件和惡意代碼,甚至可能被其他類型的高級攻擊所利用。
對Web 2.0 Widget的說明
Widget 是指可以單獨使用的獨立應用程序,或者是能夠被嵌入網站或網絡應用程序的來自第三方站點的代碼片段。它們通常用于顯示內容,諸如新聞條目或新聞發布,同時它們也能執行其他的操作,如顯示一個Twitter用戶的最新更新、或包含其它網頁或網站近期發布的博文。 Twitter的Widget 能讓用戶在第三方網站上展示tweet消息,當有人訪問這些網站時,該Widget 會實時更新消息。同樣,Facebook的Widget 也能讓第三方網站實時的顯示Facebook更新內容。
Widget 能用多種編程語言進行開發。基于Ajax的Widget 使用Google Ajax API來顯示谷歌地圖或谷歌提供的其他內容。許多Widget 通過嵌入的JavaScript代碼片段來幫助企業在Web上展示新產品或發布新聞。例如,Twitter的個人資料Widget 能夠在第三方網站上顯示最近的用戶更新信息。用戶只需將Twitter提供的JavaScript代碼段嵌入想要展示的地方即可,訪問者的瀏覽器會自動執行這些代碼,相應的更新信息便會顯示在網頁上。通常,網站會指示Web瀏覽器去執行來自多個不同Web服務器的代碼,并同時創建動態網頁。
來自Web 2.0 Widget的安全威脅
正如Fortinet公司的FortiGuard安全中心在2008年的一份報告中所述,惡意軟件的作者們幾年前就已經開始利用Widget 來作為攻擊媒介了。該報告重點提到了通過Facebook插件來散布的惡意軟件Zango。從嚴格意義上講,這種威脅已經算不上是什么新聞了,但類似的惡意Widget 如今仍然大量存在,并且和Web 2.0應用程序一樣,這些惡意軟件也在不斷地演變。
Web 2.0 Widget 不僅給企業造成了安全隱患,還給網站的訪問者帶來了安全風險。企業的風險程度因使用的Widget 的不同而有所差異,典型的情況是企業雇員因訪問了惡意Widget 的內容而成為黑客犧牲品。他們在被惡意Widget 感染后,這些Widget 會植入惡意軟件,進而感染內部網絡、或者盜取用戶電腦上的敏感數據。
同樣,在將第三方的Widget 納入到自己的商用或公用Web 2.0 應用上時,企業也面臨著風險。隨著越來越多的公司將社交網絡平臺上的Web 2.0Widget 整合到他們自己的網站和移動通信應用中,Widget 所帶來的風險已越來越多的受到重視。如果這些第三方Web 2.0插件是惡意的、或者被黑客攻破的,那么公司的網站訪問者可能會執行來自于各種不同網站的惡意JavaScript或者移動設備程序代碼,即便這些代碼的來源看上去是合法的(如來自貴公司的網站)。因此,一個公司可能會在不知不覺中將攻擊者的惡意軟件散播到網站訪客和客戶的電腦上,并在需要為這些安全問題買單的時候感到吃驚不已。
Web 2.0 Widget:企業的防御策略
盡管存在這些威脅,我們仍然有辦法能讓Widget 安全地在企業環境中使用——它們自己既能被公司的用戶所使用,也能憑借構建網絡混搭(mashups)應用從而被其他站點所引用。為了保護網站訪客免受惡意Widget 的侵害,網站開發者在將第三方Widget 引入到自己開發的網站中時,應當首先開發一個安全識別程序。開發者應該明確使用這些Widget 會帶來的潛在風險,同時應當學會在發布Widget 前評估它們的安全性,然而因為在網站上發布一個新的Widget 很簡單,以至于這一步常常被忽視了。
在安全評估過程中,每個Widget 的運行情況應在測試環境中得到充分的驗證,以確保常見的惡意內容無法通過該Widget 散布出去。開發人員可以通過閱讀JavaScript代碼來評估Widget 的安全性,并仔細檢驗其功能。為了檢測將會通過Widget 的惡意內容(如Twitter的信息流),測試人員可以在受測網站上創建一個Twitter賬號,查看在多種潛在惡意內容發表時Widget 所顯示的內容。一個自動化的程序同樣可以檢測一個機構網站中通過Widget 傳遞的惡意內容。此類自動化程序擁有特殊的腳本,應在運行有多種其他反惡意軟件的電腦上運行。該腳本將下載Widget 所引用的所有內容,以確定是否有反惡意軟件能夠對這些內容生成警告信息。為了測試上述功能,你可以在Widget 中發布一個EICAR(歐洲反計算機病毒協會)測試文件的鏈接,以測試你的自動化程序是否能檢測到其中的病毒樣本。這種方法可能并不能對每一個Widget都起作用,尤其是預編譯的二進制代碼Widget 。盡管如此,驗證程序的輸出結果仍然是可能的。
為了防止內部用戶給公司的網絡和數據帶來風險,應當使用標準的反惡意軟件保護產品。內部網絡防御和網絡出口端點防御相結合可以保護用戶免遭大部分通過Widget 傳播的惡意軟件的侵害。許多網絡設備(通常是你所在的組織用于阻止常見惡意軟件的設備,如網絡代理服務器等)包括了對于社交網絡的保護。有些設備將此種保護作為基本功能,但另外一些設備則需要額外的授權或模塊設置才能對這些威脅進行監控。
意識到潛在威脅的存在、并確保有足夠的反惡意軟件的保護,是對Web 2.0Widget 潛在威脅進行防范的關鍵。惡意的、或被破解的Widget 能輕而易舉地散播來自第三方的代碼,這些代碼會破壞你的網站體系結構、竊取你的敏感數據、或由此導致網站客戶對貴機構的信任度下降。展望未來,你所在的公司不僅應該意識到網絡混搭應用的危險性,還要實行適當的保護措施來防范這些應用所帶來的危害,這一點至關重要!
【編輯推薦】
