Widget（微件），或小型Web應(yīng)用程序，是深受用戶喜愛的、用于在不同的Web 2.0 網(wǎng)站上表現(xiàn)自我的工具或Web插件，如在Facebook和Twitter；同時，一些組織機(jī)構(gòu)也利用它們來獲得其他網(wǎng)站的內(nèi)容。但是，隨著web 2.0程序和Web插件日益成為商業(yè)活動中不可或缺的一部分，企業(yè)可能需要防范一些新的嚴(yán)重安全隱患。

在本文中，我們將闡述在將Widget 納入Web 2.0環(huán)境之前對其安全性進(jìn)行評估，這將對企業(yè)保護(hù)網(wǎng)絡(luò)用戶、內(nèi)部用戶，以及最終公司的聲譽(yù)方面帶來哪些好處。盡管Widget 也被用于合乎規(guī)則的商業(yè)用途（尤其是用于基礎(chǔ)如Facebook、Twitter、谷歌或其他第三方網(wǎng)站的內(nèi)容方面），但它們同樣能夠被輕而易舉地用于散布惡意軟件和惡意代碼，甚至可能被其他類型的高級攻擊所利用。

對Web 2.0 Widget的說明

Widget 是指可以單獨(dú)使用的獨(dú)立應(yīng)用程序，或者是能夠被嵌入網(wǎng)站或網(wǎng)絡(luò)應(yīng)用程序的來自第三方站點(diǎn)的代碼片段。它們通常用于顯示內(nèi)容，諸如新聞條目或新聞發(fā)布，同時它們也能執(zhí)行其他的操作，如顯示一個Twitter用戶的最新更新、或包含其它網(wǎng)頁或網(wǎng)站近期發(fā)布的博文。 Twitter的Widget 能讓用戶在第三方網(wǎng)站上展示tweet消息，當(dāng)有人訪問這些網(wǎng)站時，該Widget 會實(shí)時更新消息。同樣，F(xiàn)acebook的Widget 也能讓第三方網(wǎng)站實(shí)時的顯示Facebook更新內(nèi)容。

Widget 能用多種編程語言進(jìn)行開發(fā)。基于Ajax的Widget 使用Google Ajax API來顯示谷歌地圖或谷歌提供的其他內(nèi)容。許多Widget 通過嵌入的JavaScript代碼片段來幫助企業(yè)在Web上展示新產(chǎn)品或發(fā)布新聞。例如，Twitter的個人資料Widget 能夠在第三方網(wǎng)站上顯示最近的用戶更新信息。用戶只需將Twitter提供的JavaScript代碼段嵌入想要展示的地方即可，訪問者的瀏覽器會自動執(zhí)行這些代碼，相應(yīng)的更新信息便會顯示在網(wǎng)頁上。通常，網(wǎng)站會指示W(wǎng)eb瀏覽器去執(zhí)行來自多個不同Web服務(wù)器的代碼，并同時創(chuàng)建動態(tài)網(wǎng)頁。

來自Web 2.0 Widget的安全威脅

正如Fortinet公司的FortiGuard安全中心在2008年的一份報告中所述，惡意軟件的作者們幾年前就已經(jīng)開始利用Widget 來作為攻擊媒介了。該報告重點(diǎn)提到了通過Facebook插件來散布的惡意軟件Zango。從嚴(yán)格意義上講，這種威脅已經(jīng)算不上是什么新聞了，但類似的惡意Widget 如今仍然大量存在，并且和Web 2.0應(yīng)用程序一樣，這些惡意軟件也在不斷地演變。

Web 2.0 Widget 不僅給企業(yè)造成了安全隱患，還給網(wǎng)站的訪問者帶來了安全風(fēng)險。企業(yè)的風(fēng)險程度因使用的Widget 的不同而有所差異，典型的情況是企業(yè)雇員因訪問了惡意Widget 的內(nèi)容而成為黑客犧牲品。他們在被惡意Widget 感染后，這些Widget 會植入惡意軟件，進(jìn)而感染內(nèi)部網(wǎng)絡(luò)、或者盜取用戶電腦上的敏感數(shù)據(jù)。

同樣，在將第三方的Widget 納入到自己的商用或公用Web 2.0 應(yīng)用上時，企業(yè)也面臨著風(fēng)險。隨著越來越多的公司將社交網(wǎng)絡(luò)平臺上的Web 2.0Widget 整合到他們自己的網(wǎng)站和移動通信應(yīng)用中，Widget 所帶來的風(fēng)險已越來越多的受到重視。如果這些第三方Web 2.0插件是惡意的、或者被黑客攻破的，那么公司的網(wǎng)站訪問者可能會執(zhí)行來自于各種不同網(wǎng)站的惡意JavaScript或者移動設(shè)備程序代碼，即便這些代碼的來源看上去是合法的（如來自貴公司的網(wǎng)站）。因此，一個公司可能會在不知不覺中將攻擊者的惡意軟件散播到網(wǎng)站訪客和客戶的電腦上，并在需要為這些安全問題買單的時候感到吃驚不已。

Web 2.0 Widget：企業(yè)的防御策略

盡管存在這些威脅，我們?nèi)匀挥修k法能讓W(xué)idget 安全地在企業(yè)環(huán)境中使用——它們自己既能被公司的用戶所使用，也能憑借構(gòu)建網(wǎng)絡(luò)混搭（mashups）應(yīng)用從而被其他站點(diǎn)所引用。為了保護(hù)網(wǎng)站訪客免受惡意Widget 的侵害，網(wǎng)站開發(fā)者在將第三方Widget 引入到自己開發(fā)的網(wǎng)站中時，應(yīng)當(dāng)首先開發(fā)一個安全識別程序。開發(fā)者應(yīng)該明確使用這些Widget 會帶來的潛在風(fēng)險，同時應(yīng)當(dāng)學(xué)會在發(fā)布Widget 前評估它們的安全性，然而因?yàn)樵诰W(wǎng)站上發(fā)布一個新的Widget 很簡單，以至于這一步常常被忽視了。

在安全評估過程中，每個Widget 的運(yùn)行情況應(yīng)在測試環(huán)境中得到充分的驗(yàn)證，以確保常見的惡意內(nèi)容無法通過該Widget 散布出去。開發(fā)人員可以通過閱讀JavaScript代碼來評估Widget 的安全性，并仔細(xì)檢驗(yàn)其功能。為了檢測將會通過Widget 的惡意內(nèi)容（如Twitter的信息流），測試人員可以在受測網(wǎng)站上創(chuàng)建一個Twitter賬號，查看在多種潛在惡意內(nèi)容發(fā)表時Widget 所顯示的內(nèi)容。一個自動化的程序同樣可以檢測一個機(jī)構(gòu)網(wǎng)站中通過Widget 傳遞的惡意內(nèi)容。此類自動化程序擁有特殊的腳本，應(yīng)在運(yùn)行有多種其他反惡意軟件的電腦上運(yùn)行。該腳本將下載Widget 所引用的所有內(nèi)容，以確定是否有反惡意軟件能夠?qū)@些內(nèi)容生成警告信息。為了測試上述功能，你可以在Widget 中發(fā)布一個EICAR（歐洲反計算機(jī)病毒協(xié)會）測試文件的鏈接，以測試你的自動化程序是否能檢測到其中的病毒樣本。這種方法可能并不能對每一個Widget都起作用，尤其是預(yù)編譯的二進(jìn)制代碼Widget 。盡管如此，驗(yàn)證程序的輸出結(jié)果仍然是可能的。

為了防止內(nèi)部用戶給公司的網(wǎng)絡(luò)和數(shù)據(jù)帶來風(fēng)險，應(yīng)當(dāng)使用標(biāo)準(zhǔn)的反惡意軟件保護(hù)產(chǎn)品。內(nèi)部網(wǎng)絡(luò)防御和網(wǎng)絡(luò)出口端點(diǎn)防御相結(jié)合可以保護(hù)用戶免遭大部分通過Widget 傳播的惡意軟件的侵害。許多網(wǎng)絡(luò)設(shè)備（通常是你所在的組織用于阻止常見惡意軟件的設(shè)備，如網(wǎng)絡(luò)代理服務(wù)器等）包括了對于社交網(wǎng)絡(luò)的保護(hù)。有些設(shè)備將此種保護(hù)作為基本功能，但另外一些設(shè)備則需要額外的授權(quán)或模塊設(shè)置才能對這些威脅進(jìn)行監(jiān)控。

意識到潛在威脅的存在、并確保有足夠的反惡意軟件的保護(hù)，是對Web 2.0Widget 潛在威脅進(jìn)行防范的關(guān)鍵。惡意的、或被破解的Widget 能輕而易舉地散播來自第三方的代碼，這些代碼會破壞你的網(wǎng)站體系結(jié)構(gòu)、竊取你的敏感數(shù)據(jù)、或由此導(dǎo)致網(wǎng)站客戶對貴機(jī)構(gòu)的信任度下降。展望未來，你所在的公司不僅應(yīng)該意識到網(wǎng)絡(luò)混搭應(yīng)用的危險性，還要實(shí)行適當(dāng)?shù)谋Ｗo(hù)措施來防范這些應(yīng)用所帶來的危害，這一點(diǎn)至關(guān)重要！

【編輯推薦】

1. Widgets會成為下一個重大的安全威脅
2. Widget Property 多個SQL注入漏洞