網站上的第三方指令碼為網路攻擊者提供攻擊媒介

世界上近一半的大型網站使用外部生成的JavaScript，這使它們成為網路攻擊者竊取資料、竊取信用卡和執行其他惡意行為的目標。

Source Defense的新分析發現，在大多數網站上都存在大量第三方(甚至是第四方)指令碼，它們相對容易被用來潛入惡意程式碼。許多組織可能比他們想象的更容易受到第三方JavaScript在他們網站上的風險。

通常情況下，當網頁呼叫第三方指令碼時，會直接從屬於第三方的外部伺服器直接載入到瀏覽器中。根據安全供應商的說法，這意味著該指令碼繞過外部安全防禦和web應用程式防火牆，以及網路監控工具等控制元件。使得威脅行為者可以透過第三方指令碼將惡意程式碼引入企業開發環境中。然而，大多陣列織使用的第三方指令碼通常時免費的，而且來源複雜。

在對全球4300家最大網站的分析中，該公司發現，每個網站平均有15個外部生成的指令碼，其中平均有12個位于敏感頁面，比如收集使用者資訊或處理訂單和支付的頁面。在研究中，近一半(49%)的網站擁有具有檢索表單輸入和監控使用者點選按鈕功能的外部程式碼。超過20%的人擁有可以修改表單的外部程式碼。大多數網站在每個網頁上都有多個指令碼。

Source Defense發現，某些行業組織的網站的第三方指令碼數量大大高於其他部門的平均數量。例如，金融服務網站的敏感頁面上平均有19個指令碼，比所有行業的平均水平高出60%。醫療機構平均有15個。

對攻擊者有吸引力的攻擊媒介

近年來，攻擊者操縱或使用第三方指令碼竊取使用者和支付卡資料、將使用者重定向到惡意站點、記錄擊鍵以及執行各種其他惡意活動的事件屢見不鮮。如駭客組織Magecart，多年來，它透過將讀卡軟體偷偷帶入零售網站上的第三方指令碼，竊取了數億張支付卡的資料。

此類攻擊可能對企業產生重大影響。例如，在2018年的一起事件中，Magecart駭客將幾行程式碼潛入英國航空公司(British Airways)的一個網站頁面，最終暴露了約38萬名客戶的個人資料。該航空公司隨後因該事件被處以超過2億美元的鉅額罰款。

Blutrich稱:“即使是世界上最大的網站，攻擊媒介仍然是廣泛和開放的，而且很可能造成重大物質損失。”

他指出，為了破壞第三方指令碼，威脅行為者有時會滲透到公共程式碼庫中。他說，在一些情況下，它們識別出擁有大型客戶網路的組織，並從這些組織竊取指令碼來實施一對多攻擊。例如今年早些時候，蘇富比(Sotheby)房地產部門的一個網站的雲影片元件中植入了惡意軟體，導致100多個與房地產相關的網站遭到攻擊。

如何應對外部指令碼風險

Blutrich 指出，用於減輕第三方和第四方指令碼風險的企業流程的成熟度往往會有所不同。在某些情況下，軟體開發團隊和營銷團隊各自負責自己的模組，而不涉及安全性問題。

然而，在考慮安全的前提下，軟體開發和安全/合規性應該合作起來，除了審查第三方供應鏈或開源庫，也應對程式碼安全加強重視，避免因第三方庫或組織程式碼缺陷導致重大的資料洩露問題。

來源：

https://www.darkreading.com/application-security/third-party-scripts-websites-broad-open-attack-vector