2011年初，互聯(lián)網(wǎng)上紛紛傳播一個(gè)消息：某銀行網(wǎng)上銀行頁(yè)面被掛馬。一些安全專家在進(jìn)行調(diào)查與分析后，確認(rèn)該銀行自己的頁(yè)面沒有被掛馬，被掛馬的是其網(wǎng)銀頁(yè)面中嵌入的第三方網(wǎng)頁(yè)。這是一次典型的網(wǎng)站第三方內(nèi)容安全事件。

綠盟科技的專家告訴我們，通常來(lái)說(shuō)，具備安全意識(shí)的網(wǎng)站管理者都會(huì)自己Web應(yīng)用進(jìn)行檢查，避免出現(xiàn)容易被利用的漏洞（如SQL注入和XSS）。但安全問題往往是整個(gè)系統(tǒng)最薄弱環(huán)節(jié)所導(dǎo)致的，而第三方內(nèi)容正是這樣缺乏有效管理和監(jiān)控的薄弱環(huán)節(jié)。很多網(wǎng)站會(huì)通過<iframe>或者<script>的方式直接將第三方內(nèi)容嵌入到網(wǎng)頁(yè)中，這實(shí)際上將嵌入第三方內(nèi)容的網(wǎng)頁(yè)控制權(quán)隱性地"授權(quán)"給了第三方內(nèi)容。第三方內(nèi)容實(shí)際上獲得了和原網(wǎng)站本地代碼一樣的權(quán)限去修改原網(wǎng)站在瀏覽器中顯示的內(nèi)容、甚至竊取用戶的機(jī)密數(shù)據(jù)，從而導(dǎo)致網(wǎng)站"被黑"、"被掛馬"、"被釣魚"等多種安全事件。

那什么是"第三方內(nèi)容"呢？簡(jiǎn)要來(lái)說(shuō)就是網(wǎng)站所使用的非本站資源（包括文字、圖片、Flash 、JavaScript腳本等各類網(wǎng)站資源）。這些非本站的資源往往被瀏覽器自動(dòng)加載，網(wǎng)站訪問者并不關(guān)心、也不知道這些資源來(lái)自于其他網(wǎng)站，因此對(duì)大多數(shù)訪問者而言，他會(huì)認(rèn)為在自己計(jì)算機(jī)上所看到的網(wǎng)頁(yè)內(nèi)容，全部都來(lái)自他所訪問的網(wǎng)站。第三方內(nèi)容方便易用，因此被廣泛應(yīng)用到網(wǎng)頁(yè)編程中，但網(wǎng)站管理者卻很少注意到它的安全隱患。

如上圖，訪問者在步驟1，用瀏覽器打開A網(wǎng)站網(wǎng)頁(yè)時(shí)，同時(shí)將網(wǎng)頁(yè)中嵌入的B網(wǎng)站內(nèi)容指向下載到本地計(jì)算機(jī)，本地計(jì)算機(jī)在步驟2中，根據(jù)B內(nèi)容指向，將B內(nèi)容從B網(wǎng)站下載過來(lái)。在訪問者的游覽器中，最終呈現(xiàn)的是一個(gè)完整的A網(wǎng)頁(yè)，訪問者不會(huì)知道B內(nèi)容實(shí)際來(lái)自于B網(wǎng)站。他會(huì)認(rèn)為所有內(nèi)容都來(lái)自A網(wǎng)站。一旦網(wǎng)站B出現(xiàn)安全問題就會(huì)直接影響到A網(wǎng)站，而此次某銀行"被掛馬"事件正是如此。目前第三方的安全威脅逐漸浮現(xiàn)出來(lái)。越來(lái)越多的Web安全研究者已經(jīng)注意到了網(wǎng)站第三方內(nèi)容的問題，甚至提出了"第三方內(nèi)容劫持"這樣專有的攻擊方式。

互聯(lián)網(wǎng)站是攻擊者的主要目標(biāo)，網(wǎng)站管理者都會(huì)對(duì)自己的網(wǎng)站進(jìn)行安全保護(hù)，但很多管理者都忽略了對(duì)第三方內(nèi)容安全性的檢查。用戶訪問量大的網(wǎng)站會(huì)更容易成為攻擊目標(biāo)，所以安全防護(hù)通常更嚴(yán)密，攻擊者入侵這些網(wǎng)站時(shí)往往很難找到明顯漏洞。通過前面的分析，我們了解到第三方內(nèi)容同樣危害嚴(yán)重，而且很少受到檢查和監(jiān)控，攻擊者就會(huì)利用這個(gè)最薄弱的環(huán)節(jié)發(fā)起攻擊。

根據(jù)國(guó)內(nèi)安全公司綠盟科技的調(diào)查分析，全球TOP100和中國(guó)大陸TOP100的網(wǎng)站中有超過69%的頁(yè)面嵌入了第三方內(nèi)容，即使是管理比較嚴(yán)格的金融行業(yè)網(wǎng)站也有20%的網(wǎng)頁(yè)嵌入了第三方的內(nèi)容，而中國(guó)大陸地區(qū)TOP100網(wǎng)站嵌入第三方內(nèi)容的比例更是高達(dá)80.3%。這表明，國(guó)內(nèi)大部分網(wǎng)站都存在著很高比例的、容易出問題的第三方內(nèi)容，而網(wǎng)站安全管理并不太重視第三方內(nèi)容存在的問題。

從根本上來(lái)說(shuō)，對(duì)網(wǎng)站的第三方內(nèi)容缺乏管理實(shí)際上是在現(xiàn)有的安全體系中引入了一個(gè)風(fēng)險(xiǎn)不可控的內(nèi)容。如果缺乏對(duì)第三方內(nèi)容有效的檢查、監(jiān)控和管理，網(wǎng)站的安全性將會(huì)遇到較大的威脅。要確保網(wǎng)站的安全，站點(diǎn)管理者必須高度重視第三方內(nèi)容的安全性，必須對(duì)第三方內(nèi)容安全進(jìn)行有效的管理。綠盟科技的專家建議通過以下幾個(gè)步驟加強(qiáng)對(duì)第三方內(nèi)容安全管理：

1、建立第三方內(nèi)容的安全審核機(jī)制，確保只嵌入有安全保障的第三方內(nèi)容；

2、建立第三方內(nèi)容定期安全檢查機(jī)制，確保及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)隱患并進(jìn)行修補(bǔ)；

3、建立安全監(jiān)測(cè)及事件的響應(yīng)機(jī)制，一旦發(fā)生安全問題，能夠具備行之有效的手段進(jìn)行處理和響應(yīng)。

【編輯推薦】

1. 綠盟科技針對(duì)教育門戶網(wǎng)站安全提出全流程管理
2. 綠盟科技網(wǎng)站域名解析監(jiān)測(cè)服務(wù)上市
3. 解讀衛(wèi)士通基于云技術(shù)的安全存儲(chǔ)系統(tǒng)
4. 綠盟科技榮獲2010年度十大金融科技杰出企業(yè)稱號(hào)