Akamai：第三方腳本，便利與風(fēng)險(xiǎn)并存

現(xiàn)在很多網(wǎng)站都會(huì)使用第三方JavaScript腳本的方式來增強(qiáng)其應(yīng)用功能。通常情況下，這種嵌入到網(wǎng)站中的腳本可以方便直接地從第三方服務(wù)提供商的域中加載，實(shí)現(xiàn)對當(dāng)前網(wǎng)站的優(yōu)化和功能增強(qiáng)。然而，這種嵌入到很多網(wǎng)站中的第三方腳本往往會(huì)導(dǎo)致非常危險(xiǎn)的攻擊面，可以令這些網(wǎng)站更易遭受潛在攻擊。

早在2017年的統(tǒng)計(jì)就發(fā)現(xiàn)，平均每個(gè)網(wǎng)頁包含48個(gè)第一方腳本，但同時(shí)也會(huì)包含62個(gè)第三方腳本。從2011年到2018年這七年間，第三方腳本的請求數(shù)量增長了140%，而第三方腳本的大小增長了706%！

由于這些腳本來自第三方，網(wǎng)站根本無權(quán)也無法控制，一旦有任何存在弱點(diǎn)的第三方腳本被黑客利用，都可能導(dǎo)致使用該腳本的所有網(wǎng)站受到威脅。據(jù)統(tǒng)計(jì)，超過80%的頁面至少會(huì)包含一個(gè)已知的第三方安全漏洞。

2019年，一系列難以檢測到的腳本攻擊（稱為Magecart）入侵了17,000多個(gè)域，其中2,000個(gè)域來自世界上最大的網(wǎng)站。

我們針對一家公司的單個(gè)Magecart攻擊進(jìn)行分析后發(fā)現(xiàn)：

僅僅是在其網(wǎng)站的JavaScript中插入了22行代碼，便導(dǎo)致成千上萬名客戶的數(shù)據(jù)泄露。而這些數(shù)據(jù)在暗網(wǎng)中以10美元一條的價(jià)格出售，黑客獲得的收益估計(jì)達(dá)1200萬美元，而遭受攻擊的公司最終承擔(dān)了2.29億美元的罰款！

看到上面的數(shù)據(jù)，您還認(rèn)為自己不容易受到JaveScript的攻擊么？還認(rèn)為此類攻擊只會(huì)帶來微不足道的損失么？如果您使用第三方腳本執(zhí)行以下操作，那么您需要重新思考這些問題：

·將客戶數(shù)據(jù)轉(zhuǎn)化為更加定制化的體驗(yàn)

·主動(dòng)跟蹤和重新定向訪客，用以增加訪問量

·將您的網(wǎng)站和應(yīng)用程序連接到社交媒體

3個(gè)步驟抵御JaveScript攻擊

基于腳本的攻擊之所以能夠成功實(shí)施，是因?yàn)闊o法察覺到的攻擊很難阻止。在JavaScript中注入的惡意代碼通常看起來無害。如果沒有合適的安全工具，這類惡意代碼可在數(shù)天、數(shù)周甚至數(shù)月內(nèi)運(yùn)行而不被檢測到，同時(shí)完成敏感用戶信息盜取并發(fā)送回網(wǎng)絡(luò)犯罪分子的命令和控制服務(wù)器。

為了有效地阻止基于腳本的攻擊并保護(hù)企業(yè)免受此類攻擊造成的代價(jià)高昂的業(yè)務(wù)中斷，以下三點(diǎn)策略是您的最佳防御措施：

·實(shí)時(shí)檢測基于腳本的威脅

·在產(chǎn)生負(fù)面影響之前阻止攻擊

·識(shí)別易受攻擊的資源以防今后受到攻擊

Akamai提供了一種新的第三方JavaScript的實(shí)時(shí)評(píng)估服務(wù)，在短時(shí)間內(nèi)我們可以看到一組龐大的數(shù)據(jù)：

Akamai Page Integrity Manager提供了一種簡單而有效的防御措施，可抵御基于腳本的攻擊。Page Integrity Manager易于實(shí)施和操作，可自動(dòng)實(shí)現(xiàn)：

·分析您的網(wǎng)站和應(yīng)用程序上的所有JavaScript行為

·即時(shí)針對威脅通知網(wǎng)站運(yùn)營提供商

·實(shí)時(shí)識(shí)別可疑活動(dòng)

·提供深入的見解，幫用戶化解難題，消除負(fù)面影響