第三方腳本成為網(wǎng)絡(luò)攻擊重災(zāi)區(qū)

時(shí)間：2022-04-22 02:15:02 | 來源：行業(yè)動(dòng)態(tài)

時(shí)間：2022-04-22 02:15:02 來源：行業(yè)動(dòng)態(tài)

第三方腳本攻擊的興起源于第三方腳本的流行。為使用戶獲得更豐富、便捷的Web體驗(yàn)，越來越多的網(wǎng)站通過第三方腳本為用戶提供支付、預(yù)訂等服務(wù)。一方面，這些腳本都是通過第三方進(jìn)行功能維護(hù)和更新，對(duì)于第一方而言通常未知，因此為第一方網(wǎng)站的自身安全性埋下了隱患。另一方面，隨著用戶對(duì)網(wǎng)站功能多樣化的需求增加，第三方腳本的大小與請(qǐng)求數(shù)正在飛速增長，這使得攻擊面進(jìn)一步擴(kuò)大。數(shù)據(jù)顯示，2011年至2018年間，網(wǎng)頁頁面中的第三方腳本大小增長了706%，請(qǐng)求數(shù)增加了140% 。以Akamai官網(wǎng)為例，如果使用可視化工具Request Map 來展現(xiàn)頁面上所有請(qǐng)求的來源，會(huì)發(fā)現(xiàn)網(wǎng)站中超過50%的腳本都是來自第三方的腳本。

具體而言，第三方腳本攻擊往往從第三方、第四方網(wǎng)站開始。攻擊者通過將惡意代碼添加到第三方腳本更新中，從而穿透平臺(tái)的必要安全檢查（例如WAF），進(jìn)入供應(yīng)鏈交付，最終在第一方網(wǎng)站頁面上竊取個(gè)人識(shí)別信息（PII），再通過執(zhí)行惡意代碼，把這些數(shù)據(jù)發(fā)回給攻擊者。



當(dāng)前，第三方腳本攻擊中最臭名昭著的莫過于Magecart攻擊。該攻擊以Magecart這一黑客組織命名，專門使用惡意代碼通過污染第三方和第四方的腳本，從終端用戶提交的支付表單中竊取支付信息，以獲取經(jīng)濟(jì)利益。其具備以下幾個(gè)特點(diǎn)：

第一，影響范圍廣。該攻擊不僅針對(duì)大型支付網(wǎng)站，任何有支付業(yè)務(wù)、需要在頁面中提交表單的網(wǎng)站，無論大小，均有可能遭受此類攻擊。第二，攻擊后果嚴(yán)重。該攻擊威力巨大，單一攻擊事件就可以造成數(shù)以千計(jì)的網(wǎng)站感染、百萬個(gè)信息被盜取。在針對(duì)英國航空的Magecart攻擊中，攻擊者僅用22行腳本代碼，就盜取了38萬張信用卡的信息，相當(dāng)于給犯罪分子送去1700多萬美元的凈收益 。第三，攻擊手段不斷升級(jí)。最近一次已知的Magecart攻擊發(fā)生在今年4月，Magecart黑客團(tuán)體采用名為MakeFrame的新型數(shù)據(jù)竊取器，將HTML iframes注入網(wǎng)頁中以獲取用戶付款數(shù)據(jù)，成功地破壞了至少19個(gè)不同的電子商務(wù)網(wǎng)站。

事實(shí)上，像Magecart攻擊這樣的表單劫持類第三方腳本攻擊還有很多種，例如黑客針對(duì)優(yōu)化電商轉(zhuǎn)換率的分析服務(wù)Picreel和開源項(xiàng)目Alpaca Forms發(fā)起的攻擊都屬于這一范疇。2019年5月，攻擊者通過修改Picreel和Alpaca Forms的JavaScript文件，在超過4600個(gè)網(wǎng)站上嵌入惡意代碼，劫持用戶提交的表單 。這種情況愈演愈烈，根據(jù)2019年《互聯(lián)網(wǎng)安全威脅報(bào)告》，全球平均每個(gè)月有超過4800個(gè)不同的網(wǎng)站遭到類似的表單劫持代碼入侵。