城門失火 殃及池魚 第三方內容安全引發關注
2011年初,互聯網上紛紛傳播一個消息:某銀行網上銀行頁面被掛馬。一些安全專家在進行調查與分析后,確認該銀行自己的頁面沒有被掛馬,被掛馬的是其網銀頁面中嵌入的第三方網頁。這是一次典型的網站第三方內容安全事件。
綠盟科技的專家告訴我們,通常來說,具備安全意識的網站管理者都會自己Web應用進行檢查,避免出現容易被利用的漏洞(如SQL注入和XSS)。但安全問題往往是整個系統最薄弱環節所導致的,而第三方內容正是這樣缺乏有效管理和監控的薄弱環節。很多網站會通過<iframe>或者<script>的方式直接將第三方內容嵌入到網頁中,這實際上將嵌入第三方內容的網頁控制權隱性地"授權"給了第三方內容。第三方內容實際上獲得了和原網站本地代碼一樣的權限去修改原網站在瀏覽器中顯示的內容、甚至竊取用戶的機密數據,從而導致網站"被黑"、"被掛馬"、"被釣魚"等多種安全事件。
那什么是"第三方內容"呢?簡要來說就是網站所使用的非本站資源(包括文字、圖片、Flash 、JavaScript腳本等各類網站資源)。這些非本站的資源往往被瀏覽器自動加載,網站訪問者并不關心、也不知道這些資源來自于其他網站,因此對大多數訪問者而言,他會認為在自己計算機上所看到的網頁內容,全部都來自他所訪問的網站。第三方內容方便易用,因此被廣泛應用到網頁編程中,但網站管理者卻很少注意到它的安全隱患。
如上圖,訪問者在步驟1,用瀏覽器打開A網站網頁時,同時將網頁中嵌入的B網站內容指向下載到本地計算機,本地計算機在步驟2中,根據B內容指向,將B內容從B網站下載過來。在訪問者的游覽器中,最終呈現的是一個完整的A網頁,訪問者不會知道B內容實際來自于B網站。他會認為所有內容都來自A網站。一旦網站B出現安全問題就會直接影響到A網站,而此次某銀行"被掛馬"事件正是如此。目前第三方的安全威脅逐漸浮現出來。越來越多的Web安全研究者已經注意到了網站第三方內容的問題,甚至提出了"第三方內容劫持"這樣專有的攻擊方式。
互聯網站是攻擊者的主要目標,網站管理者都會對自己的網站進行安全保護,但很多管理者都忽略了對第三方內容安全性的檢查。用戶訪問量大的網站會更容易成為攻擊目標,所以安全防護通常更嚴密,攻擊者入侵這些網站時往往很難找到明顯漏洞。通過前面的分析,我們了解到第三方內容同樣危害嚴重,而且很少受到檢查和監控,攻擊者就會利用這個最薄弱的環節發起攻擊。
根據國內安全公司綠盟科技的調查分析,全球TOP100和中國大陸TOP100的網站中有超過69%的頁面嵌入了第三方內容,即使是管理比較嚴格的金融行業網站也有20%的網頁嵌入了第三方的內容,而中國大陸地區TOP100網站嵌入第三方內容的比例更是高達80.3%。這表明,國內大部分網站都存在著很高比例的、容易出問題的第三方內容,而網站安全管理并不太重視第三方內容存在的問題。
從根本上來說,對網站的第三方內容缺乏管理實際上是在現有的安全體系中引入了一個風險不可控的內容。如果缺乏對第三方內容有效的檢查、監控和管理,網站的安全性將會遇到較大的威脅。要確保網站的安全,站點管理者必須高度重視第三方內容的安全性,必須對第三方內容安全進行有效的管理。綠盟科技的專家建議通過以下幾個步驟加強對第三方內容安全管理:
1、建立第三方內容的安全審核機制,確保只嵌入有安全保障的第三方內容;
2、建立第三方內容定期安全檢查機制,確保及時發現風險隱患并進行修補;
3、建立安全監測及事件的響應機制,一旦發生安全問題,能夠具備行之有效的手段進行處理和響應。
【編輯推薦】
