后患无穷:第三方脚本带来的安全风险
时间:2022-04-22 02:18:01 | 来源:行业动态
时间:2022-04-22 02:18:01 来源:行业动态
第三方脚本攻击利用的是第一方网站对第三方脚本的控制力不足和难以实现的全面监测,造成较为严重的攻击后果。除此之外,第三方脚本还会带来一些其他的潜在隐患。综合来看,第三方脚本带来的安全风险通常有以下几种:
数据窃取。数据窃取是在用户端通过脚本窃取用户的个人数据和账单数据的一种钓鱼攻击。2019年第四季度,某北美大型零售商的支付页面被攻击者盗取了姓名、电话、邮件和信用卡号码、安全码和过期日期等。
意外泄漏。意外泄漏指应用意外收集用户敏感数据导致的合规风险。2019年第四季度,某国际零售商网站上出现了不安全脚本,使得任何人都可以通过Web浏览器访问该网站近1.3 TB的数据,包括用户的IP、住址、邮箱地址和在网站的活动轨迹。此外,这还可能会引发针对性的网络钓鱼攻击。
已知漏洞(CVE)。这是指在真实使用场景中,脚本已经暴露出漏洞,但未能得到及时修复。2019年第四季度,某旅游服务商在一次第三方脚本攻击的15天内暴露了30多万用户的个人信息,导致百万美金的罚款。而造成此次攻击的漏洞就来自于已知的脚本漏洞,并且该漏洞已在此前导致过数据泄漏。