安全人員需注意第三方應用程序威脅
第三方內容造成的安全問題對于網站站長而言并不陌生。從第三方工具、應用程序廣告在網絡上的普及程度以及對網絡安全的影響來看,這無疑給web 2.0企業帶來很大的挑戰。
根據安全公司Dasient表示,新網站被感染的時間為平均每1.3秒。而在2009年,每個月受惡意軟件感染的網頁大約有2百萬。對于網站所有者而言,這些感染都是源自Dasient公司首席技術官Neil Daswani在7月26日發表的報告中所提及的“結構性漏洞”,而這就是因為第三方應用程序、工具和惡意廣告引起的安全問題,這種漏洞一旦被利用將能夠威脅整個網站。
“傳統的部署漏洞(如SQL注入或者跨站腳本)都能夠通過修復軟件來‘予以修復’,”Daswani表示,“對于結構性漏洞而言,唯一與眾不同的特點就是,沒有任何問題是可以真正被修復的,網站依賴于第三方的內容,如果決定不使用廣告通常不是好辦法。”
從很多方面來說,這是一個老問題的新轉折,Gartner研究所分析師John Pescatore指出。
“這與早期web 1.0的CGI(共同網關界面)的問題非常類似,很多小工具如留言板、計數器等中的小問題都會被利用,”Pescatore表示,“首先,很多小工具中存在漏洞以致讓黑客利用,而后來則是,更聰明的攻擊者使用木馬版本,然后只需要利用他們自己的后門代碼。”
而現在,同樣的問題也發生在第三方工具中。
“利用第三方提供的任意JavaScript式網絡工具的網站其實都授予了第三方完整的DOM訪問權限,與他們本地代碼一樣的訪問權限,”白帽子安全首席技術官Jeremiah Grossman表示,“因此,網絡工具的整個基本硬件/軟件基礎結構也就成為了網站所有者隱式或者顯式信任模式的一部分。”
“企業在部署第三方網絡工具前,必須對第三方攻擊的安全性和可靠性進行嚴格的審查,”Grossman表示。
“這將要求第三方網絡工具供應商在法律上同意進行安全評估,”他指出,“其次,雖然并不總是出于業務原因,網絡工具不應該用在要求高級別安全保障的網站中。”
此外,“對于IE6用戶及以上版本用戶,iframes支持security=restricted屬性,能夠指定網絡工具必須在瀏覽器的限制網站安全區域運行,”Grossman補充說,“限制網站安全區域能夠防止運行JavaScript或者VBScript以重定向到其他網站以及其他惡意行為,如果網絡工具供應商是不可信任的或者不需要這種功能,那么強烈建議大家,只有在需要的時候才使用這個功能。”
在Dasient發表的報告中,該公司對大約5000個網站進行了分析,并發現四分之三的網站使用了第三方JavaScript工具,主要包括旅游、娛樂和休閑網站,這些類型的網站中有99%被發現在使用第三方JavaScript工具。
“攻擊者能夠輕松破壞一個工具,然后就能夠有效攻擊每個網站,那些已經在使用此工具的網站,以致所有這些網站成為惡意軟件傳播的平臺,”Daswani表示。
此外,該公司還發現出版網站中有三分之一在使用第三方的廣告,91%的企業使用過時的軟件來維護網站。
“雖然企業通常能夠很好的控制他們直接運行網站部分,但他們通常對于軟件開發生命周期過程或者他們所使用的第三方應用程序安全問題沒有直接的控制,”Daswani表示。
因第三方應用程序而造成安全問題的網站中就包括Facebook,該網站有一個大型第三方開發人員社區,并采取了很多措施來確保應用程序的安全。最后,Daswani表示,解決第三方應用程序帶來的安全問題的方法歸結來說,就是監測這些問題以及對第三方內容供應商進行審核。
“這是一個很大的挑戰,但并不是什么新挑戰,真正需要注意的是AJAX代碼、JavaScript、小工具和過時的CGI腳本,這些都意味著將給網站帶來更多漏洞和更多能夠插入惡意軟件的空間,最好的方法就是更多的使用白名單方式,”該安全分析人員表示。
【編輯推薦】
