第三方內(nèi)容造成的安全問題對于網(wǎng)站站長而言并不陌生。從第三方工具、應(yīng)用程序廣告在網(wǎng)絡(luò)上的普及程度以及對網(wǎng)絡(luò)安全的影響來看，這無疑給web 2.0企業(yè)帶來很大的挑戰(zhàn)。

根據(jù)安全公司Dasient表示，新網(wǎng)站被感染的時間為平均每1.3秒。而在2009年，每個月受惡意軟件感染的網(wǎng)頁大約有2百萬。對于網(wǎng)站所有者而言，這些感染都是源自Dasient公司首席技術(shù)官Neil Daswani在7月26日發(fā)表的報告中所提及的“結(jié)構(gòu)性漏洞”，而這就是因為第三方應(yīng)用程序、工具和惡意廣告引起的安全問題，這種漏洞一旦被利用將能夠威脅整個網(wǎng)站。

“傳統(tǒng)的部署漏洞（如SQL注入或者跨站腳本）都能夠通過修復(fù)軟件來‘予以修復(fù)’，”Daswani表示，“對于結(jié)構(gòu)性漏洞而言，唯一與眾不同的特點就是，沒有任何問題是可以真正被修復(fù)的，網(wǎng)站依賴于第三方的內(nèi)容，如果決定不使用廣告通常不是好辦法?！?/P>

從很多方面來說，這是一個老問題的新轉(zhuǎn)折，Gartner研究所分析師John Pescatore指出。

“這與早期web 1.0的CGI（共同網(wǎng)關(guān)界面）的問題非常類似，很多小工具如留言板、計數(shù)器等中的小問題都會被利用，”Pescatore表示，“首先，很多小工具中存在漏洞以致讓黑客利用，而后來則是，更聰明的攻擊者使用木馬版本，然后只需要利用他們自己的后門代碼?！?/P>

而現(xiàn)在，同樣的問題也發(fā)生在第三方工具中。

“利用第三方提供的任意JavaScript式網(wǎng)絡(luò)工具的網(wǎng)站其實都授予了第三方完整的DOM訪問權(quán)限，與他們本地代碼一樣的訪問權(quán)限，”白帽子安全首席技術(shù)官Jeremiah Grossman表示，“因此，網(wǎng)絡(luò)工具的整個基本硬件/軟件基礎(chǔ)結(jié)構(gòu)也就成為了網(wǎng)站所有者隱式或者顯式信任模式的一部分?！?/P>

“企業(yè)在部署第三方網(wǎng)絡(luò)工具前，必須對第三方攻擊的安全性和可靠性進行嚴(yán)格的審查，”Grossman表示。

“這將要求第三方網(wǎng)絡(luò)工具供應(yīng)商在法律上同意進行安全評估，”他指出，“其次，雖然并不總是出于業(yè)務(wù)原因，網(wǎng)絡(luò)工具不應(yīng)該用在要求高級別安全保障的網(wǎng)站中?！?/P>

此外，“對于IE6用戶及以上版本用戶，iframes支持security=restricted屬性，能夠指定網(wǎng)絡(luò)工具必須在瀏覽器的限制網(wǎng)站安全區(qū)域運行，”Grossman補充說，“限制網(wǎng)站安全區(qū)域能夠防止運行JavaScript或者VBScript以重定向到其他網(wǎng)站以及其他惡意行為，如果網(wǎng)絡(luò)工具供應(yīng)商是不可信任的或者不需要這種功能，那么強烈建議大家，只有在需要的時候才使用這個功能?！?/P>

在Dasient發(fā)表的報告中，該公司對大約5000個網(wǎng)站進行了分析，并發(fā)現(xiàn)四分之三的網(wǎng)站使用了第三方JavaScript工具，主要包括旅游、娛樂和休閑網(wǎng)站，這些類型的網(wǎng)站中有99%被發(fā)現(xiàn)在使用第三方JavaScript工具。

“攻擊者能夠輕松破壞一個工具，然后就能夠有效攻擊每個網(wǎng)站，那些已經(jīng)在使用此工具的網(wǎng)站，以致所有這些網(wǎng)站成為惡意軟件傳播的平臺，”Daswani表示。

此外，該公司還發(fā)現(xiàn)出版網(wǎng)站中有三分之一在使用第三方的廣告，91%的企業(yè)使用過時的軟件來維護網(wǎng)站。

“雖然企業(yè)通常能夠很好的控制他們直接運行網(wǎng)站部分，但他們通常對于軟件開發(fā)生命周期過程或者他們所使用的第三方應(yīng)用程序安全問題沒有直接的控制，”Daswani表示。

因第三方應(yīng)用程序而造成安全問題的網(wǎng)站中就包括Facebook，該網(wǎng)站有一個大型第三方開發(fā)人員社區(qū)，并采取了很多措施來確保應(yīng)用程序的安全。最后，Daswani表示，解決第三方應(yīng)用程序帶來的安全問題的方法歸結(jié)來說，就是監(jiān)測這些問題以及對第三方內(nèi)容供應(yīng)商進行審核。

“這是一個很大的挑戰(zhàn)，但并不是什么新挑戰(zhàn)，真正需要注意的是AJAX代碼、JavaScript、小工具和過時的CGI腳本，這些都意味著將給網(wǎng)站帶來更多漏洞和更多能夠插入惡意軟件的空間，最好的方法就是更多的使用白名單方式，”該安全分析人員表示。

【編輯推薦】

1. 應(yīng)用程序開發(fā)：使用第三方代碼是否安全？
2. 理解Web應(yīng)用程序的安全挑戰(zhàn)
3. 保護你的數(shù)據(jù)就是保護你的商業(yè)信譽！