2011年初，互聯(lián)網(wǎng)上紛紛傳播一個消息：某銀行網(wǎng)上銀行頁面被掛馬。一些安全專家在進行調(diào)查與分析后，確認(rèn)該銀行自己的頁面沒有被掛馬，被掛馬的是其網(wǎng)銀頁面中嵌入的第三方網(wǎng)頁。這是一次典型的網(wǎng)站第三方內(nèi)容安全事件。

綠盟科技的專家告訴我們，通常來說，具備安全意識的網(wǎng)站管理者都會自己Web應(yīng)用進行檢查，避免出現(xiàn)容易被利用的漏洞（如SQL注入和XSS）。但安全問題往往是整個系統(tǒng)最薄弱環(huán)節(jié)所導(dǎo)致的，而第三方內(nèi)容正是這樣缺乏有效管理和監(jiān)控的薄弱環(huán)節(jié)。很多網(wǎng)站會通過<iframe>或者<script>的方式直接將第三方內(nèi)容嵌入到網(wǎng)頁中，這實際上將嵌入第三方內(nèi)容的網(wǎng)頁控制權(quán)隱性地"授權(quán)"給了第三方內(nèi)容。第三方內(nèi)容實際上獲得了和原網(wǎng)站本地代碼一樣的權(quán)限去修改原網(wǎng)站在瀏覽器中顯示的內(nèi)容、甚至竊取用戶的機密數(shù)據(jù)，從而導(dǎo)致網(wǎng)站"被黑"、"被掛馬"、"被釣魚"等多種安全事件。

那什么是"第三方內(nèi)容"呢？簡要來說就是網(wǎng)站所使用的非本站資源（包括文字、圖片、Flash 、JavaScript腳本等各類網(wǎng)站資源）。這些非本站的資源往往被瀏覽器自動加載，網(wǎng)站訪問者并不關(guān)心、也不知道這些資源來自于其他網(wǎng)站，因此對大多數(shù)訪問者而言，他會認(rèn)為在自己計算機上所看到的網(wǎng)頁內(nèi)容，全部都來自他所訪問的網(wǎng)站。第三方內(nèi)容方便易用，因此被廣泛應(yīng)用到網(wǎng)頁編程中，但網(wǎng)站管理者卻很少注意到它的安全隱患。

如上圖，訪問者在步驟1，用瀏覽器打開A網(wǎng)站網(wǎng)頁時，同時將網(wǎng)頁中嵌入的B網(wǎng)站內(nèi)容指向下載到本地計算機，本地計算機在步驟2中，根據(jù)B內(nèi)容指向，將B內(nèi)容從B網(wǎng)站下載過來。在訪問者的游覽器中，最終呈現(xiàn)的是一個完整的A網(wǎng)頁，訪問者不會知道B內(nèi)容實際來自于B網(wǎng)站。他會認(rèn)為所有內(nèi)容都來自A網(wǎng)站。一旦網(wǎng)站B出現(xiàn)安全問題就會直接影響到A網(wǎng)站，而此次某銀行"被掛馬"事件正是如此。目前第三方的安全威脅逐漸浮現(xiàn)出來。越來越多的Web安全研究者已經(jīng)注意到了網(wǎng)站第三方內(nèi)容的問題，甚至提出了"第三方內(nèi)容劫持"這樣專有的攻擊方式。

互聯(lián)網(wǎng)站是攻擊者的主要目標(biāo)，網(wǎng)站管理者都會對自己的網(wǎng)站進行安全保護，但很多管理者都忽略了對第三方內(nèi)容安全性的檢查。用戶訪問量大的網(wǎng)站會更容易成為攻擊目標(biāo)，所以安全防護通常更嚴(yán)密，攻擊者入侵這些網(wǎng)站時往往很難找到明顯漏洞。通過前面的分析，我們了解到第三方內(nèi)容同樣危害嚴(yán)重，而且很少受到檢查和監(jiān)控，攻擊者就會利用這個最薄弱的環(huán)節(jié)發(fā)起攻擊。

根據(jù)國內(nèi)安全公司綠盟科技的調(diào)查分析，全球TOP100和中國大陸TOP100的網(wǎng)站中有超過69%的頁面嵌入了第三方內(nèi)容，即使是管理比較嚴(yán)格的金融行業(yè)網(wǎng)站也有20%的網(wǎng)頁嵌入了第三方的內(nèi)容，而中國大陸地區(qū)TOP100網(wǎng)站嵌入第三方內(nèi)容的比例更是高達80.3%。這表明，國內(nèi)大部分網(wǎng)站都存在著很高比例的、容易出問題的第三方內(nèi)容，而網(wǎng)站安全管理并不太重視第三方內(nèi)容存在的問題。

從根本上來說，對網(wǎng)站的第三方內(nèi)容缺乏管理實際上是在現(xiàn)有的安全體系中引入了一個風(fēng)險不可控的內(nèi)容。如果缺乏對第三方內(nèi)容有效的檢查、監(jiān)控和管理，網(wǎng)站的安全性將會遇到較大的威脅。要確保網(wǎng)站的安全，站點管理者必須高度重視第三方內(nèi)容的安全性，必須對第三方內(nèi)容安全進行有效的管理。綠盟科技的專家建議通過以下幾個步驟加強對第三方內(nèi)容安全管理：

1、建立第三方內(nèi)容的安全審核機制，確保只嵌入有安全保障的第三方內(nèi)容；

2、建立第三方內(nèi)容定期安全檢查機制，確保及時發(fā)現(xiàn)風(fēng)險隱患并進行修補；

3、建立安全監(jiān)測及事件的響應(yīng)機制，一旦發(fā)生安全問題，能夠具備行之有效的手段進行處理和響應(yīng)。

【編輯推薦】

1. 綠盟科技針對教育門戶網(wǎng)站安全提出全流程管理
2. 綠盟科技網(wǎng)站域名解析監(jiān)測服務(wù)上市
3. 解讀衛(wèi)士通基于云技術(shù)的安全存儲系統(tǒng)
4. 綠盟科技榮獲2010年度十大金融科技杰出企業(yè)稱號