企业安全人员需注意第三方应用程序威胁

第三方内容造成的安全问题对于网站站长而言并不陌生。从第三方工具、应用程序广告在网络上的普及程度以及对网络安全的影响来看,这无疑给web 2.0企业带来很大的挑战。

根据安全公司Dasient表示,新网站被感染的时间为平均每1.3秒。而在2009年,每个月受恶意软件感染的网页大约有2百万。对于网站所有者而言,这些感染都是源自Dasient公司首席技术官Neil Daswani在7月26日发表的报告中所提及的“结构性漏洞”,而这就是因为第三方应用程序、工具和恶意广告引起的安全问题,这种漏洞一旦被利用将能够威胁整个网站。

“传统的部署漏洞(如SQL注入或者跨站脚本)都能够通过修复软件来‘予以修复’,”Daswani表示,“对于结构性漏洞而言,唯一与众不同的特点就是,没有任何问题是可以真正被修复的,网站依赖于第三方的内容,如果决定不使用广告通常不是好办法。”

从很多方面来说,这是一个老问题的新转折,Gartner研究所分析师John Pescatore指出。

“这与早期web 1.0的CGI(共同网关界面)的问题非常类似,很多小工具如留言板、计数器等中的小问题都会被利用,”Pescatore表示,“首先,很多小工具中存在漏洞以致让黑客利用,而后来则是,更聪明的攻击者使用木马版本,然后只需要利用他们自己的后门代码。”

而现在,同样的问题也发生在第三方工具中。

“利用第三方提供的任意JavaScript式网络工具的网站其实都授予了第三方完整的DOM访问权限,与他们本地代码一样的访问权限,”白帽子安全首席技术官Jeremiah Grossman表示,“因此,网络工具的整个基本硬件/软件基础结构也就成为了网站所有者隐式或者显式信任模式的一部分。”

“企业在部署第三方网络工具前,必须对第三方攻击的安全性和可靠性进行严格的审查,”Grossman表示。

“这将要求第三方网络工具供应商在法律上同意进行安全评估,”他指出,“其次,虽然并不总是出于业务原因,网络工具不应该用在要求高级别安全保障的网站中。”

此外,“对于IE6用户及以上版本用户,iframes支持security=restricted属性,能够指定网络工具必须在浏览器的限制网站安全区域运行,”Grossman补充说,“限制网站安全区域能够防止运行JavaScript或者VBScript以重定向到其他网站以及其他恶意行为,如果网络工具供应商是不可信任的或者不需要这种功能,那么强烈建议大家,只有在需要的时候才使用这个功能。”

在Dasient发表的报告中,该公司对大约5000个网站进行了分析,并发现四分之三的网站使用了第三方JavaScript工具,主要包括旅游、娱乐和休闲网站,这些类型的网站中有99%被发现在使用第三方JavaScript工具。

“攻击者能够轻松破坏一个工具,然后就能够有效攻击每个网站,那些已经在使用此工具的网站,以致所有这些网站成为恶意软件传播的平台,”Daswani表示。

此外,该公司还发现出版网站中有三分之一在使用第三方的广告,91%的企业使用过时的软件来维护网站。

“虽然企业通常能够很好的控制他们直接运行网站部分,但他们通常对于软件开发生命周期过程或者他们所使用的第三方应用程序安全问题没有直接的控制,”Daswani表示。

因第三方应用程序而造成安全问题的网站中就包括Facebook,该网站有一个大型第三方开发人员社区,并采取了很多措施来确保应用程序的安全。最后,Daswani表示,解决第三方应用程序带来的安全问题的方法归结来说,就是监测这些问题以及对第三方内容供应商进行审核。

“这是一个很大的挑战,但并不是什么新挑战,真正需要注意的是AJAX 代码、JavaScript、小工具和过时的CGI脚本,这些都意味着将给网站带来更多漏洞和更多能够插入恶意软件的空间,最好的方法就是更多的使用白名单方式,”该安全分析人员表示。