Widget（微件），或小型Web應(yīng)用程序，是深受用戶喜愛的、用于在不同的Web 2.0 網(wǎng)站上表現(xiàn)自我的工具或Web插件，如在Facebook和Twitter；同時(shí)，一些組織機(jī)構(gòu)也利用它們來(lái)獲得其他網(wǎng)站的內(nèi)容。但是，隨著web 2.0程序和Web插件日益成為商業(yè)活動(dòng)中不可或缺的一部分，企業(yè)可能需要防范一些新的嚴(yán)重安全隱患。

在本文中，我們將闡述在將Widget 納入Web 2.0環(huán)境之前對(duì)其安全性進(jìn)行評(píng)估，這將對(duì)企業(yè)保護(hù)網(wǎng)絡(luò)用戶、內(nèi)部用戶，以及最終公司的聲譽(yù)方面帶來(lái)哪些好處。盡管Widget 也被用于合乎規(guī)則的商業(yè)用途（尤其是用于基礎(chǔ)如Facebook、Twitter、谷歌或其他第三方網(wǎng)站的內(nèi)容方面），但它們同樣能夠被輕而易舉地用于散布惡意軟件和惡意代碼，甚至可能被其他類型的高級(jí)攻擊所利用。

對(duì)Web 2.0 Widget的說(shuō)明

Widget 是指可以單獨(dú)使用的獨(dú)立應(yīng)用程序，或者是能夠被嵌入網(wǎng)站或網(wǎng)絡(luò)應(yīng)用程序的來(lái)自第三方站點(diǎn)的代碼片段。它們通常用于顯示內(nèi)容，諸如新聞條目或新聞發(fā)布，同時(shí)它們也能執(zhí)行其他的操作，如顯示一個(gè)Twitter用戶的最新更新、或包含其它網(wǎng)頁(yè)或網(wǎng)站近期發(fā)布的博文。 Twitter的Widget 能讓用戶在第三方網(wǎng)站上展示tweet消息，當(dāng)有人訪問(wèn)這些網(wǎng)站時(shí)，該Widget 會(huì)實(shí)時(shí)更新消息。同樣，F(xiàn)acebook的Widget 也能讓第三方網(wǎng)站實(shí)時(shí)的顯示Facebook更新內(nèi)容。

Widget 能用多種編程語(yǔ)言進(jìn)行開發(fā)。基于Ajax的Widget 使用Google Ajax API來(lái)顯示谷歌地圖或谷歌提供的其他內(nèi)容。許多Widget 通過(guò)嵌入的JavaScript代碼片段來(lái)幫助企業(yè)在Web上展示新產(chǎn)品或發(fā)布新聞。例如，Twitter的個(gè)人資料Widget 能夠在第三方網(wǎng)站上顯示最近的用戶更新信息。用戶只需將Twitter提供的JavaScript代碼段嵌入想要展示的地方即可，訪問(wèn)者的瀏覽器會(huì)自動(dòng)執(zhí)行這些代碼，相應(yīng)的更新信息便會(huì)顯示在網(wǎng)頁(yè)上。通常，網(wǎng)站會(huì)指示W(wǎng)eb瀏覽器去執(zhí)行來(lái)自多個(gè)不同Web服務(wù)器的代碼，并同時(shí)創(chuàng)建動(dòng)態(tài)網(wǎng)頁(yè)。

來(lái)自Web 2.0 Widget的安全威脅

正如Fortinet公司的FortiGuard安全中心在2008年的一份報(bào)告中所述，惡意軟件的作者們幾年前就已經(jīng)開始利用Widget 來(lái)作為攻擊媒介了。該報(bào)告重點(diǎn)提到了通過(guò)Facebook插件來(lái)散布的惡意軟件Zango。從嚴(yán)格意義上講，這種威脅已經(jīng)算不上是什么新聞了，但類似的惡意Widget 如今仍然大量存在，并且和Web 2.0應(yīng)用程序一樣，這些惡意軟件也在不斷地演變。

Web 2.0 Widget 不僅給企業(yè)造成了安全隱患，還給網(wǎng)站的訪問(wèn)者帶來(lái)了安全風(fēng)險(xiǎn)。企業(yè)的風(fēng)險(xiǎn)程度因使用的Widget 的不同而有所差異，典型的情況是企業(yè)雇員因訪問(wèn)了惡意Widget 的內(nèi)容而成為黑客犧牲品。他們?cè)诒粣阂釽idget 感染后，這些Widget 會(huì)植入惡意軟件，進(jìn)而感染內(nèi)部網(wǎng)絡(luò)、或者盜取用戶電腦上的敏感數(shù)據(jù)。

同樣，在將第三方的Widget 納入到自己的商用或公用Web 2.0 應(yīng)用上時(shí)，企業(yè)也面臨著風(fēng)險(xiǎn)。隨著越來(lái)越多的公司將社交網(wǎng)絡(luò)平臺(tái)上的Web 2.0Widget 整合到他們自己的網(wǎng)站和移動(dòng)通信應(yīng)用中，Widget 所帶來(lái)的風(fēng)險(xiǎn)已越來(lái)越多的受到重視。如果這些第三方Web 2.0插件是惡意的、或者被黑客攻破的，那么公司的網(wǎng)站訪問(wèn)者可能會(huì)執(zhí)行來(lái)自于各種不同網(wǎng)站的惡意JavaScript或者移動(dòng)設(shè)備程序代碼，即便這些代碼的來(lái)源看上去是合法的（如來(lái)自貴公司的網(wǎng)站）。因此，一個(gè)公司可能會(huì)在不知不覺(jué)中將攻擊者的惡意軟件散播到網(wǎng)站訪客和客戶的電腦上，并在需要為這些安全問(wèn)題買單的時(shí)候感到吃驚不已。

Web 2.0 Widget：企業(yè)的防御策略

盡管存在這些威脅，我們?nèi)匀挥修k法能讓W(xué)idget 安全地在企業(yè)環(huán)境中使用——它們自己既能被公司的用戶所使用，也能憑借構(gòu)建網(wǎng)絡(luò)混搭（mashups）應(yīng)用從而被其他站點(diǎn)所引用。為了保護(hù)網(wǎng)站訪客免受惡意Widget 的侵害，網(wǎng)站開發(fā)者在將第三方Widget 引入到自己開發(fā)的網(wǎng)站中時(shí)，應(yīng)當(dāng)首先開發(fā)一個(gè)安全識(shí)別程序。開發(fā)者應(yīng)該明確使用這些Widget 會(huì)帶來(lái)的潛在風(fēng)險(xiǎn)，同時(shí)應(yīng)當(dāng)學(xué)會(huì)在發(fā)布Widget 前評(píng)估它們的安全性，然而因?yàn)樵诰W(wǎng)站上發(fā)布一個(gè)新的Widget 很簡(jiǎn)單，以至于這一步常常被忽視了。

在安全評(píng)估過(guò)程中，每個(gè)Widget 的運(yùn)行情況應(yīng)在測(cè)試環(huán)境中得到充分的驗(yàn)證，以確保常見的惡意內(nèi)容無(wú)法通過(guò)該Widget 散布出去。開發(fā)人員可以通過(guò)閱讀JavaScript代碼來(lái)評(píng)估Widget 的安全性，并仔細(xì)檢驗(yàn)其功能。為了檢測(cè)將會(huì)通過(guò)Widget 的惡意內(nèi)容（如Twitter的信息流），測(cè)試人員可以在受測(cè)網(wǎng)站上創(chuàng)建一個(gè)Twitter賬號(hào)，查看在多種潛在惡意內(nèi)容發(fā)表時(shí)Widget 所顯示的內(nèi)容。一個(gè)自動(dòng)化的程序同樣可以檢測(cè)一個(gè)機(jī)構(gòu)網(wǎng)站中通過(guò)Widget 傳遞的惡意內(nèi)容。此類自動(dòng)化程序擁有特殊的腳本，應(yīng)在運(yùn)行有多種其他反惡意軟件的電腦上運(yùn)行。該腳本將下載Widget 所引用的所有內(nèi)容，以確定是否有反惡意軟件能夠?qū)@些內(nèi)容生成警告信息。為了測(cè)試上述功能，你可以在Widget 中發(fā)布一個(gè)EICAR（歐洲反計(jì)算機(jī)病毒協(xié)會(huì)）測(cè)試文件的鏈接，以測(cè)試你的自動(dòng)化程序是否能檢測(cè)到其中的病毒樣本。這種方法可能并不能對(duì)每一個(gè)Widget都起作用，尤其是預(yù)編譯的二進(jìn)制代碼Widget 。盡管如此，驗(yàn)證程序的輸出結(jié)果仍然是可能的。

為了防止內(nèi)部用戶給公司的網(wǎng)絡(luò)和數(shù)據(jù)帶來(lái)風(fēng)險(xiǎn)，應(yīng)當(dāng)使用標(biāo)準(zhǔn)的反惡意軟件保護(hù)產(chǎn)品。內(nèi)部網(wǎng)絡(luò)防御和網(wǎng)絡(luò)出口端點(diǎn)防御相結(jié)合可以保護(hù)用戶免遭大部分通過(guò)Widget 傳播的惡意軟件的侵害。許多網(wǎng)絡(luò)設(shè)備（通常是你所在的組織用于阻止常見惡意軟件的設(shè)備，如網(wǎng)絡(luò)代理服務(wù)器等）包括了對(duì)于社交網(wǎng)絡(luò)的保護(hù)。有些設(shè)備將此種保護(hù)作為基本功能，但另外一些設(shè)備則需要額外的授權(quán)或模塊設(shè)置才能對(duì)這些威脅進(jìn)行監(jiān)控。

意識(shí)到潛在威脅的存在、并確保有足夠的反惡意軟件的保護(hù)，是對(duì)Web 2.0Widget 潛在威脅進(jìn)行防范的關(guān)鍵。惡意的、或被破解的Widget 能輕而易舉地散播來(lái)自第三方的代碼，這些代碼會(huì)破壞你的網(wǎng)站體系結(jié)構(gòu)、竊取你的敏感數(shù)據(jù)、或由此導(dǎo)致網(wǎng)站客戶對(duì)貴機(jī)構(gòu)的信任度下降。展望未來(lái)，你所在的公司不僅應(yīng)該意識(shí)到網(wǎng)絡(luò)混搭應(yīng)用的危險(xiǎn)性，還要實(shí)行適當(dāng)?shù)谋Ｗo(hù)措施來(lái)防范這些應(yīng)用所帶來(lái)的危害，這一點(diǎn)至關(guān)重要！

【編輯推薦】

1. Widgets會(huì)成為下一個(gè)重大的安全威脅
2. Widget Property 多個(gè)SQL注入漏洞