Discuz作为国内网站用户使用非常多的一个论坛套件,其中引用大量的第三方应用程序。在2009年初,第三方应用程序被黑导致使用Discuz论坛套件的网站出现挂马和虚假内容等一系列安全问题,这成为第三方内容威胁比较典型的事件。随后,很多门户网站和比较知名的网站一直被第三方内容事件所影响。在今年年初,某银行网上银行被挂马,在安全专家分析后是银行页面嵌入的第三方网页被挂马导致安全问题。虽然银行及时修复没有造成很大的影响,但第三方内容威胁足以给企业和某些机构敲响警钟。
据国内知名的企业级网络安全厂商绿盟科技的统计调查,全球最大的100家网站和国内最大的100家网站,发现69%的页面包含了第三方内容,其中大陆前100家网站引用第三方内容的比率高达80.3%。对于安全监管比较严格的金融行业网站,也依然有20%的网站存在嵌入第三方内容的页面。显然,如此高比率的嵌入第三方内容存在比较高的潜在风险。
第三方内容成风险源
绿盟科技金融行业安全顾问徐一丁在接受ZDNet记者采访时说,第三方内容是现在网站编程里面经常采用的一个技术,网站的制作者会把本身网页里面嵌入一些第三方网站内容的“指针”。这些网页被客户端浏览器打开的时候,浏览器会根据这些指针去采第三方网站上面的内容,包括图片、文字、flash和一些动态脚本等等。攻击者利用这些内容源对目标进行攻击,主要体现在四个方面。
第一, 攻击者可以利用一些访问量比较大的网站去做广泛木马的传播。比如一个门户网站,有大量的内容被其他网站引用,它就是一个比较集中的源,如果把这个源控制,然后制造一些虚假的信息,或植入木马。所有引用这些内容的网站都可以同时被黑,这样木马传播速度就比以往快得多。
第二, 可以利用第三方内容去黑以前很难黑的网站。如果说网站本身保护非常严密,但是它引用第三方内容的网站防护可能没那么严密,比如说检测手段、软件漏洞发现等没有那么完备。这样通过篡改第三方内容的方式达到攻击目标网站的目的。
第三, 可以利用第三方内容网站直接篡改目标网站的页面,比如说它的一些程序,或者对它的一些应用进行攻击。
第四, 散布虚假或欺骗的信息。比如利用第三方内容篡改用户访问的网站上的链接,达到欺诈的目的。
社交和金融类网站面临威胁
据悉,目前针对第三方内容进行攻击主要有两大类网站。第一类是访问量非常大的网站,像门户和一些社交网站。第二类是利用价值比较高的网站。比如金融行业的网站,网上银行、网上证券、网上保险和一些电子商务网站,这种对于攻击者利用价值非常高的网站比较容易受到第三方内容的威胁。
这些网站受到攻击时,虽然是因为第三方内容引起。但对于访问用户感知来说,就认为这是网站本身所造成的。如果用户在访问网页时,被中了木马,比如网银账号被盗。用户认为这是由于访问网站本身所造成的被挂马,导致账号被盗资金损失等。这时候网站方可能面临几个问题,一是面临索赔和纠纷;而是客户信誉度下降,甚至客户流失;第三,被传负面消息,造成商业信誉下降;如果是金融行业,源于监管部门的监管工作,可能面临问责等。所以,对一些网站特别是金融类网站影响是比较大的。
让第三方内容“可控”
第三方内容对网站来说又是不可控的,比如网站编写者用<iframe>去嵌套第三方的文字或图片。但这实际上是一个源,这个源可以被更改,今天引入的内容是A,没有安全问题。如果改成B的时候,网站不进行审核,就有可能造成被挂马。所以,针对第三方内容不可控的因素,非常有必要建立一个安全审查的机制,防患于未然。
对此,徐一丁在介绍时给出三个建议。
1、审核。对引用第三方内容的网站进行资格审核。第一是选择信誉比较高的网站,它不会主动恶意提供一些挂马内容。第二选择网站本身防护措施比较严密的内容源,攻击者去攻击第三方内容网站的时候,比较困难。第三方内容被恶意更改的可能性比较小,这就间接保护了引用第三方内容的安全。
2、检查。在引用第三方内容时,针对这个内容有可能被更改的情况。要制定检查策略,周期性去检查,确保及时发现风险隐患并进行修补。
3、响应。经过安全检测,一旦发现安全问题,马上进行行之有效的手段去处理,或者屏蔽第三方的源,或者跟第三方去沟通,建立互惠合作的关系。
第三方内容面临安全威胁分为两种情况,一种是恶意的脚本或木马,这是动态的;另一种是文本、图片等一些静态的内容。针对这两种情况,可以用一些传统的网页木马检测手段去检测。也可以用一些关键字过滤加上人工审核的方式,可以说手段并不陌生。当然,目前厂商也有针对第三方内容安全威胁提供技术性的解决方案。据悉,绿盟科技的云安全平台也有针对性的解决方案,用户只需提交域名。系统就会自动寻找网页中的网站链接,并检查网页列表里网页是否存在第三方内容,第三方内容是否被挂马和含有虚假信息等安全问题。一旦发现安全问题,平台会自动报警,然后配合用户去响应。这种安全性监控工作对于客户来讲,会很大节省人力成本,并能够及时发现并对风险隐患进行修复。
“混合攻击”初试锋芒
“第三方内容可以利用网站本身的脆弱性和漏洞进行攻击,我们认为会成为接下来互联网安全非常重要的攻防点。”徐一丁在介绍时这样说,其实,针对第三方内容的攻击和其他攻击手段的结合会成为风险威胁最高的因素。在年初的某网上银行被挂马事件中,就是首先用第三方内容对客户端的访问者进行的钓鱼攻击,然后把用户引入恶意网站,构造虚假的业务流程欺骗,窃取用户账号口令等信息,导致资金被盗。
第二,针对特定的业务模式的攻击。比如一些证券公司的论坛,上面会有专家进行荐股的信息。攻击者可以利用第三方内容直接把一些虚假信息推上去。如果推荐的是一门冷门股,可能这支股票价位被拉升。其实是用户被虚假信息误导,然后攻击者高价抛出获利。所以第三方内容威胁一旦和企业特定业务模式结合,会造成很大的威胁和影响。