城门失火殃及池鱼第三方内容安全引发关注_程序开发

城门失火殃及池鱼第三方内容安全引发关注

创始人

2024-07-23 00:31:48

0次

2011年初，互联网上纷纷传播一个消息：某银行网上银行页面被挂马。一些安全专家在进行调查与分析后，确认该银行自己的页面没有被挂马，被挂马的是其网银页面中嵌入的第三方网页。这是一次典型的网站第三方内容安全事件。

绿盟科技的专家告诉我们，通常来说，具备安全意识的网站管理者都会自己Web应用进行检查，避免出现容易被利用的漏洞（如SQL注入和XSS）。但安全问题往往是整个系统最薄弱环节所导致的，而第三方内容正是这样缺乏有效管理和监控的薄弱环节。很多网站会通过或者<script>的方式直接将第三方内容嵌入到网页中，这实际上将嵌入第三方内容的网页控制权隐性地"授权"给了第三方内容。第三方内容实际上获得了和原网站本地代码一样的权限去修改原网站在浏览器中显示的内容、甚至窃取用户的机密数据，从而导致网站"被黑"、"被挂马"、"被钓鱼"等多种安全事件。</p> <p>那什么是"第三方内容"呢？简要来说就是网站所使用的非本站资源（包括文字、图片、Flash 、JavaScript脚本等各类网站资源）。这些非本站的资源往往被浏览器自动加载，网站访问者并不关心、也不知道这些资源来自于其他网站，因此对大多数访问者而言，他会认为在自己计算机上所看到的网页内容，全部都来自他所访问的网站。第三方内容方便易用，因此被广泛应用到网页编程中，但网站管理者却很少注意到它的安全隐患。</p> <p style="text-align: center"><img border="0" alt="" width="536" height="300" src="https://files.pic99.top/shayuweb/202407/444bcc7b1d6ba3e.jpg" /></p> <p>如上图，访问者在步骤1，用浏览器打开A网站网页时，同时将网页中嵌入的B网站内容指向下载到本地计算机，本地计算机在步骤2中，根据B内容指向，将B内容从B网站下载过来。在访问者的游览器中，最终呈现的是一个完整的A网页，访问者不会知道B内容实际来自于B网站。他会认为所有内容都来自A网站。一旦网站B出现安全问题就会直接影响到A网站，而此次某银行"被挂马"事件正是如此。目前第三方的安全威胁逐渐浮现出来。越来越多的Web安全研究者已经注意到了网站第三方内容的问题，甚至提出了"第三方内容劫持"这样专有的攻击方式。</p> <p>互联网站是攻击者的主要目标，网站管理者都会对自己的网站进行安全保护，但很多管理者都忽略了对第三方内容安全性的检查。用户访问量大的网站会更容易成为攻击目标，所以安全防护通常更严密，攻击者入侵这些网站时往往很难找到明显漏洞。通过前面的分析，我们了解到第三方内容同样危害严重，而且很少受到检查和监控，攻击者就会利用这个最薄弱的环节发起攻击。</p> <p>根据国内安全公司绿盟科技的调查分析，全球TOP100和中国大陆TOP100的网站中有超过69%的页面嵌入了第三方内容，即使是管理比较严格的金融行业网站也有20%的网页嵌入了第三方的内容，而中国大陆地区TOP100网站嵌入第三方内容的比例更是高达80.3%。这表明，国内大部分网站都存在着很高比例的、容易出问题的第三方内容，而网站安全管理并不太重视第三方内容存在的问题。</p> <p>从根本上来说，对网站的第三方内容缺乏管理实际上是在现有的安全体系中引入了一个风险不可控的内容。如果缺乏对第三方内容有效的检查、监控和管理，网站的安全性将会遇到较大的威胁。要确保网站的安全，站点管理者必须高度重视第三方内容的安全性，必须对第三方内容安全进行有效的管理。绿盟科技的专家建议通过以下几个步骤加强对第三方内容安全管理：</p> <p>1、建立第三方内容的安全审核机制，确保只嵌入有安全保障的第三方内容；</p> <p>2、建立第三方内容定期安全检查机制，确保及时发现风险隐患并进行修补；</p> <p>3、建立安全监测及事件的响应机制，一旦发生安全问题，能够具备行之有效的手段进行处理和响应。</p> <p> </p> <p><strong>【编辑推荐】</strong></p> <ol> <li>绿盟科技针对教育门户网站安全提出全流程管理</li> <li>绿盟科技网站域名解析监测服务上市</li> <li>解读卫士通基于云技术的安全存储系统</li> <li>绿盟科技荣获2010年度十大金融科技杰出企业称号</li> </ol>  </div>  <div class="mt-5">  </div> <div class="mt-5"> <p class="fc-show-prev-next"> <strong>上一篇：</strong><a href="/chengxu/74792.html">黑客欺骗网友执行木马的方法</a><br> </p> <p class="fc-show-prev-next"> <strong>下一篇：</strong><a href="/chengxu/74794.html">51CTO技术沙龙第一期总结：从业务扩展的角度看Linux运维技术</a> </p> </div>  <div class="d-flex flex-stack mb-2 mt-10">  <h3 class="text-dark fs-5 fw-bold text-gray-800">相关内容</h3>  </div> <div class="separator separator-dashed mb-9"></div>  <div class="row g-10"> </div> </div>  </div>   <div class="col-xl-4 mt-0">  <div class="card card-flush h-md-100">  <div class="card-header pt-5 ">  <h3 class="card-title align-items-start flex-column">  <div class="d-flex align-items-center mb-2">  <span class="fs-5 fw-bold text-gray-800 ">热门资讯</span>  </div>  </h3>  </div>   <div class="card-body pt-3">  <div class="d-flex flex-stack mb-7">  <div class="symbol symbol-60px symbol-2by3 me-4"> <div class="symbol-label" style="background-image: url('/static/assets/images/nopic.gif')"></div> </div>   <div class="m-0"> <a href="/chengxu/241137.html" class="text-dark fw-bold text-hover-primary fs-6">如何允许远程连接到MySQL数...</a> <span class="text-gray-600 fw-semibold d-block pt-1 fs-7">[[277004]]【51CTO.com快译】默认情况下，MySQL服务器仅侦听来自localhos...</span> </div>  </div>  <div class="d-flex flex-stack mb-7">  <div class="symbol symbol-60px symbol-2by3 me-4"> <div class="symbol-label" style="background-image: url('/static/assets/images/nopic.gif')"></div> </div>   <div class="m-0"> <a href="/chengxu/61017.html" class="text-dark fw-bold text-hover-primary fs-6">如何利用交换机和端口设置来管理...</a> <span class="text-gray-600 fw-semibold d-block pt-1 fs-7">在网络管理中，总是有些人让管理员头疼。下面我们就将介绍一下一个网管员利用交换机以及端口设置等来进行D...</span> </div>  </div>  <div class="d-flex flex-stack mb-7">  <div class="symbol symbol-60px symbol-2by3 me-4"> <div class="symbol-label" style="background-image: url('/static/assets/images/nopic.gif')"></div> </div>   <div class="m-0"> <a href="/chengxu/119031.html" class="text-dark fw-bold text-hover-primary fs-6">施耐德电气数据中心整体解决方案...</a> <span class="text-gray-600 fw-semibold d-block pt-1 fs-7">近日，全球能效管理专家施耐德电气正式启动大型体验活动“能效中国行——2012卡车巡展”，作为该活动的...</span> </div>  </div>  <div class="d-flex flex-stack mb-7">  <div class="symbol symbol-60px symbol-2by3 me-4"> <div class="symbol-label" style="background-image: url('https://files.pic99.top/shayuweb/202409/eb2e03366045d9f.jpg')"></div> </div>   <div class="m-0"> <a href="/chengxu/139440.html" class="text-dark fw-bold text-hover-primary fs-6">20个非常棒的扁平设计免费资源</a> <span class="text-gray-600 fw-semibold d-block pt-1 fs-7">Apple设备的平面图标PSD免费平板UI 平板UI套件24平图标Freen平板UI套件PSD径向平...</span> </div>  </div>  <div class="d-flex flex-stack mb-7">  <div class="symbol symbol-60px symbol-2by3 me-4"> <div class="symbol-label" style="background-image: url('/static/assets/images/nopic.gif')"></div> </div>   <div class="m-0"> <a href="/chengxu/27164.html" class="text-dark fw-bold text-hover-primary fs-6">2009 IBM动态架构新动力...</a> <span class="text-gray-600 fw-semibold d-block pt-1 fs-7"></span> </div>  </div>  <div class="d-flex flex-stack mb-7">  <div class="symbol symbol-60px symbol-2by3 me-4"> <div class="symbol-label" style="background-image: url('/static/assets/images/nopic.gif')"></div> </div>   <div class="m-0"> <a href="/chengxu/225.html" class="text-dark fw-bold text-hover-primary fs-6">通过 XML 进行内容发布</a> <span class="text-gray-600 fw-semibold d-block pt-1 fs-7"></span> </div>  </div>  <div class="d-flex flex-stack mb-7">  <div class="symbol symbol-60px symbol-2by3 me-4"> <div class="symbol-label" style="background-image: url('/static/assets/images/nopic.gif')"></div> </div>   <div class="m-0"> <a href="/chengxu/130901.html" class="text-dark fw-bold text-hover-primary fs-6">德国电信门户网站可实时显示全球...</a> <span class="text-gray-600 fw-semibold d-block pt-1 fs-7">德国电信周三推出一个门户网站，直观地实时提供其安装在全球各地的传感器网络检测到的网络攻击状况。该网站...</span> </div>  </div>  <div class="d-flex flex-stack mb-7">  <div class="symbol symbol-60px symbol-2by3 me-4"> <div class="symbol-label" style="background-image: url('https://files.pic99.top/shayuweb/202503/5fe82cca6c5ff78.jpg')"></div> </div>   <div class="m-0"> <a href="/chengxu/246646.html" class="text-dark fw-bold text-hover-primary fs-6">为啥国人偏爱 Mybatis，...</a> <span class="text-gray-600 fw-semibold d-block pt-1 fs-7">关于 SQL 和 ORM 的争论，永远都不会终止，我也一直在思考这个问题。昨天又跟群里的小伙伴进行...</span> </div>  </div>  <div class="d-flex flex-stack mb-7">  <div class="symbol symbol-60px symbol-2by3 me-4"> <div class="symbol-label" style="background-image: url('https://files.pic99.top/shayuweb/202407/404021d01b8347f.jpg')"></div> </div>   <div class="m-0"> <a href="/chengxu/48727.html" class="text-dark fw-bold text-hover-primary fs-6">《非诚勿扰》红人闫凤娇被曝厕所...</a> <span class="text-gray-600 fw-semibold d-block pt-1 fs-7">【51CTO.com 综合消息360安全专家提醒说，“闫凤娇”、“非诚勿扰”已经被黑客盯上成为了“木...</span> </div>  </div>  <div class="d-flex flex-stack mb-7">  <div class="symbol symbol-60px symbol-2by3 me-4"> <div class="symbol-label" style="background-image: url('/static/assets/images/nopic.gif')"></div> </div>   <div class="m-0"> <a href="/chengxu/133934.html" class="text-dark fw-bold text-hover-primary fs-6">2012年第四季度互联网状况报...</a> <span class="text-gray-600 fw-semibold d-block pt-1 fs-7">[[71653]]　　北京时间4月25日消息，据国外媒体报道，全球知名的云平台公司Akamai Te...</span> </div>  </div> </div>  </div>  </div>  </div> </div>  </div>  </div>   <div id="kt_app_footer" class="app-footer">  <div class="app-container container-xxl d-flex flex-column flex-md-row flex-center flex-md-stack py-3">  <div class="text-dark order-2 order-md-1"> <span class="text-muted fw-semibold me-1">2025 ©</span> <a href="/" target="_blank" class="text-gray-800 text-hover-primary">鲨鱼网</a> <a href="https://beian.miit.gov.cn/" target="_blank" class="text-gray-800 text-hover-primary"></a> <a href="http://spbjmm.com.shayuweb.com">上品网</a><a href="http://www.zzszq.net/">深知网</a><a href="http://www.taiyangwa.net/">太阳生活网</a><a href="http://baike.taiyangwa.net/">太阳百科网</a><a href="http://ypkjmy.com.shayuweb.com/">一品科技</a><a href="http://www.yuansudz.com/news/">元素网</a><a href="http://www.xn--i6qw12a.com/">帛典网</a><a href="http://xldmm.com.shayuweb.com/">星链岛</a> </div>   <ul class="menu menu-gray-600 menu-hover-primary fw-semibold order-1"> <li class="menu-item"> <a href="/news/" target="_blank" class="menu-link px-2">科技资讯</a> </li> <li class="menu-item"> <a href="/chengxu/" target="_blank" class="menu-link px-2">程序开发</a> </li> <li class="menu-item"> <a href="/sitemap.xml" target="_blank" class="menu-link px-2">sitemap</a> </li> </ul>  </div>  </div>  </div>  </div>  </div>  </div>  <div id="kt_scrolltop" class="scrolltop" data-kt-scrolltop="true">  <span class="svg-icon"> <svg width="24" height="24" viewBox="0 0 24 24" fill="none" xmlns="http://www.w3.org/2000/svg"> <rect opacity="0.5" x="13" y="6" width="13" height="2" rx="1" transform="rotate(90 13 6)" fill="currentColor"></rect> <path d="M12.5657 8.56569L16.75 12.75C17.1642 13.1642 17.8358 13.1642 18.25 12.75C18.6642 12.3358 18.6642 11.6642 18.25 11.25L12.7071 5.70711C12.3166 5.31658 11.6834 5.31658 11.2929 5.70711L5.75 11.25C5.33579 11.6642 5.33579 12.3358 5.75 12.75C6.16421 13.1642 6.83579 13.1642 7.25 12.75L11.4343 8.56569C11.7467 8.25327 12.2533 8.25327 12.5657 8.56569Z" fill="currentColor"></path> </svg> </span>  </div>  <script>var hostUrl = "/static/default/pc/";</script>  <script src="/static/default/pc/plugins/global/plugins.bundle.js"></script> <script src="/static/default/pc/js/scripts.bundle.js"></script>   </body>  </html>

城门失火 殃及池鱼 第三方内容安全引发关注

城门失火殃及池鱼第三方内容安全引发关注