第三方內(nèi)容造成的安全問(wèn)題對(duì)于網(wǎng)站站長(zhǎng)而言并不陌生���。從第三方工具�、應(yīng)用程序廣告在網(wǎng)絡(luò)上的普及程度以及對(duì)網(wǎng)絡(luò)安全的影響來(lái)看,這無(wú)疑給web 2.0企業(yè)帶來(lái)很大的挑戰(zhàn)�。
根據(jù)安全公司Dasient表示,新網(wǎng)站被感染的時(shí)間為平均每1.3秒��。而在2009年�����,每個(gè)月受惡意軟件感染的網(wǎng)頁(yè)大約有2百萬(wàn)��。對(duì)于網(wǎng)站所有者而言����,這些感染都是源自Dasient公司首席技術(shù)官Neil Daswani在7月26日發(fā)表的報(bào)告中所提及的“結(jié)構(gòu)性漏洞”,而這就是因?yàn)榈谌綉?yīng)用程序���、工具和惡意廣告引起的安全問(wèn)題���,這種漏洞一旦被利用將能夠威脅整個(gè)網(wǎng)站。
“傳統(tǒng)的部署漏洞(如SQL注入或者跨站腳本)都能夠通過(guò)修復(fù)軟件來(lái)‘予以修復(fù)’��,”Daswani表示���,“對(duì)于結(jié)構(gòu)性漏洞而言,唯一與眾不同的特點(diǎn)就是,沒(méi)有任何問(wèn)題是可以真正被修復(fù)的���,網(wǎng)站依賴(lài)于第三方的內(nèi)容�����,如果決定不使用廣告通常不是好辦法��。”
從很多方面來(lái)說(shuō)����,這是一個(gè)老問(wèn)題的新轉(zhuǎn)折����,Gartner研究所分析師John Pescatore指出。
“這與早期web 1.0的CGI(共同網(wǎng)關(guān)界面)的問(wèn)題非常類(lèi)似���,很多小工具如留言板���、計(jì)數(shù)器等中的小問(wèn)題都會(huì)被利用,”Pescatore表示����,“首先�,很多小工具中存在漏洞以致讓黑客利用�,而后來(lái)則是,更聰明的攻擊者使用木馬版本�,然后只需要利用他們自己的后門(mén)代碼。”
而現(xiàn)在��,同樣的問(wèn)題也發(fā)生在第三方工具中�。
“利用第三方提供的任意JavaScript式網(wǎng)絡(luò)工具的網(wǎng)站其實(shí)都授予了第三方完整的DOM訪(fǎng)問(wèn)權(quán)限,與他們本地代碼一樣的訪(fǎng)問(wèn)權(quán)限�����,”白帽子安全首席技術(shù)官Jeremiah Grossman表示����,“因此,網(wǎng)絡(luò)工具的整個(gè)基本硬件/軟件基礎(chǔ)結(jié)構(gòu)也就成為了網(wǎng)站所有者隱式或者顯式信任模式的一部分��。”
“企業(yè)在部署第三方網(wǎng)絡(luò)工具前����,必須對(duì)第三方攻擊的安全性和可靠性進(jìn)行嚴(yán)格的審查,”Grossman表示�。
“這將要求第三方網(wǎng)絡(luò)工具供應(yīng)商在法律上同意進(jìn)行安全評(píng)估,”他指出�,“其次����,雖然并不總是出于業(yè)務(wù)原因�����,網(wǎng)絡(luò)工具不應(yīng)該用在要求高級(jí)別安全保障的網(wǎng)站中�。”
此外��,“對(duì)于IE6用戶(hù)及以上版本用戶(hù)��,iframes支持security=restricted屬性�����,能夠指定網(wǎng)絡(luò)工具必須在瀏覽器的限制網(wǎng)站安全區(qū)域運(yùn)行�����,”Grossman補(bǔ)充說(shuō)�,“限制網(wǎng)站安全區(qū)域能夠防止運(yùn)行JavaScript或者VBScript以重定向到其他網(wǎng)站以及其他惡意行為,如果網(wǎng)絡(luò)工具供應(yīng)商是不可信任的或者不需要這種功能���,那么強(qiáng)烈建議大家�,只有在需要的時(shí)候才使用這個(gè)功能。”
在Dasient發(fā)表的報(bào)告中��,該公司對(duì)大約5000個(gè)網(wǎng)站進(jìn)行了分析�����,并發(fā)現(xiàn)四分之三的網(wǎng)站使用了第三方JavaScript工具���,主要包括旅游���、娛樂(lè)和休閑網(wǎng)站,這些類(lèi)型的網(wǎng)站中有99%被發(fā)現(xiàn)在使用第三方JavaScript工具�。
“攻擊者能夠輕松破壞一個(gè)工具,然后就能夠有效攻擊每個(gè)網(wǎng)站�,那些已經(jīng)在使用此工具的網(wǎng)站,以致所有這些網(wǎng)站成為惡意軟件傳播的平臺(tái)���,”Daswani表示����。
此外��,該公司還發(fā)現(xiàn)出版網(wǎng)站中有三分之一在使用第三方的廣告��,91%的企業(yè)使用過(guò)時(shí)的軟件來(lái)維護(hù)網(wǎng)站。
“雖然企業(yè)通常能夠很好的控制他們直接運(yùn)行網(wǎng)站部分�,但他們通常對(duì)于軟件開(kāi)發(fā)生命周期過(guò)程或者他們所使用的第三方應(yīng)用程序安全問(wèn)題沒(méi)有直接的控制,”Daswani表示����。
因第三方應(yīng)用程序而造成安全問(wèn)題的網(wǎng)站中就包括Facebook�����,該網(wǎng)站有一個(gè)大型第三方開(kāi)發(fā)人員社區(qū)�����,并采取了很多措施來(lái)確保應(yīng)用程序的安全�����。最后��,Daswani表示�,解決第三方應(yīng)用程序帶來(lái)的安全問(wèn)題的方法歸結(jié)來(lái)說(shuō),就是監(jiān)測(cè)這些問(wèn)題以及對(duì)第三方內(nèi)容供應(yīng)商進(jìn)行審核����。
“這是一個(gè)很大的挑戰(zhàn)�,但并不是什么新挑戰(zhàn)�����,真正需要注意的是AJAX代碼����、JavaScript、小工具和過(guò)時(shí)的CGI腳本�����,這些都意味著將給網(wǎng)站帶來(lái)更多漏洞和更多能夠插入惡意軟件的空間����,最好的方法就是更多的使用白名單方式,”該安全分析人員表示�。