色哟哟视频在线观看-色哟哟视频在线-色哟哟欧美15最新在线-色哟哟免费在线观看-国产l精品国产亚洲区在线观看-国产l精品国产亚洲区久久

0
  • 聊天消息
  • 系統消息
  • 評論與回復
登錄后你可以
  • 下載海量資料
  • 學習在線課程
  • 觀看技術視頻
  • 寫文章/發帖/加入社區
會員中心
創作中心

完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

3天內不再提示

為什么黑客會針對優化電商轉換率的分析服務Picreel發起攻擊?

lhl545545 ? 來源:C114通信網 ? 作者:C114通信網 ? 2020-09-04 14:38 ? 次閱讀

新冠肺炎疫情帶來的大量不確定性正讓人們越發依賴數字化工具,并使遠程辦公、學習、購物、娛樂等生活方式變為常態,隨著人們對互聯網的依賴達到了前所未有的程度,網絡威脅發起者也在關注線上活動的迅猛增長,伺機而動,竊取終端用戶個人信息并以此獲利。作為易操縱且適用范圍廣的攻擊方式,第三方腳本攻擊正在快速流行,對包括電子商務、媒體出版業網站在內的眾多網站形成威脅。

和其他以服務器為目標的攻擊方式不同,第三方腳本攻擊主要針對瀏覽器端發起攻擊。這種攻擊方式較為隱蔽,企業較難使用傳統手段進行防御和打擊。而一旦攻擊者得手,造成的影響往往又是難以估量的。其中的代表Magecart攻擊就“攻陷”過許多備受矚目的網站,包括奧運會售票網站、英國航空、Ticketmaster等。RiskIQ的一項研究顯示,疫情爆發的前幾個月,Magecart攻擊數量增長了20% 。鑒于第三方腳本攻擊形勢愈加嚴峻,加上在線服務使用的繼續增加為攻擊者提供更多可乘之機,企業須做好充分的防范準備,應對這一迫在眉睫的新型網絡攻擊威脅。

第三方腳本成為網絡攻擊“重災區”

第三方腳本攻擊的興起源于第三方腳本的流行。為使用戶獲得更豐富、便捷的Web體驗,越來越多的網站通過第三方腳本為用戶提供支付、預訂等服務。一方面,這些腳本都是通過第三方進行功能維護和更新,對于第一方而言通常未知,因此為第一方網站的自身安全性埋下了隱患。另一方面,隨著用戶對網站功能多樣化的需求增加,第三方腳本的大小與請求數正在飛速增長,這使得攻擊面進一步擴大。數據顯示,2011年至2018年間,網頁頁面中的第三方腳本大小增長了706%,請求數增加了140% 。以Akamai官網為例,如果使用可視化工具“Request Map” 來展現頁面上所有請求的來源,會發現網站中超過50%的腳本都是來自第三方的腳本。

具體而言,第三方腳本攻擊往往從第三方、第四方網站開始。攻擊者通過將惡意代碼添加到第三方腳本更新中,從而“穿透”平臺的必要安全檢查(例如WAF),進入供應鏈交付,最終在第一方網站頁面上竊取個人識別信息(PII),再通過執行惡意代碼,把這些數據發回給攻擊者。

當前,第三方腳本攻擊中最“臭名昭著”的莫過于Magecart攻擊。該攻擊以Magecart這一黑客組織命名,專門使用惡意代碼通過污染第三方和第四方的腳本,從終端用戶提交的支付表單中竊取支付信息,以獲取經濟利益。其具備以下幾個特點:

第一,影響范圍廣。該攻擊不僅針對大型支付網站,任何有支付業務、需要在頁面中提交表單的網站,無論大小,均有可能遭受此類攻擊。第二,攻擊后果嚴重。該攻擊“威力”巨大,單一攻擊事件就可以造成數以千計的網站感染、百萬個信息被盜取。在針對英國航空的Magecart攻擊中,攻擊者僅用22行腳本代碼,就盜取了38萬張信用卡的信息,相當于給犯罪分子送去1700多萬美元的凈收益 。第三,攻擊手段不斷升級。最近一次已知的Magecart攻擊發生在今年4月,Magecart黑客團體采用名為“MakeFrame”的新型數據竊取器,將HTML iframes注入網頁中以獲取用戶付款數據,成功地破壞了至少19個不同的電子商務網站 。

事實上,像Magecart攻擊這樣的“表單劫持類”第三方腳本攻擊還有很多種,例如黑客針對優化電商轉換率的分析服務Picreel和開源項目Alpaca Forms發起的攻擊都屬于這一范疇。2019年5月,攻擊者通過修改Picreel和Alpaca Forms的JavaScript文件,在超過4600個網站上嵌入惡意代碼,“劫持”用戶提交的表單 。這種情況愈演愈烈,根據2019年《互聯網安全威脅報告》,全球平均每個月有超過4800個不同的網站遭到類似的表單劫持代碼入侵 。

后患無窮:第三方腳本帶來的安全風險

第三方腳本攻擊利用的是第一方網站對第三方腳本的控制力不足和難以實現的全面監測,造成較為嚴重的攻擊后果。除此之外,第三方腳本還會帶來一些其他的潛在隱患。綜合來看,第三方腳本帶來的安全風險通常有以下幾種:

數據竊取。數據竊取是在用戶端通過腳本竊取用戶的個人數據和賬單數據的一種釣魚攻擊。2019年第四季度,某北美大型零售商的支付頁面被攻擊者盜取了姓名、電話、郵件和信用卡號碼、安全碼和過期日期等。

意外泄漏。意外泄漏指應用意外收集用戶敏感數據導致的合規風險。2019年第四季度,某國際零售商網站上出現了不安全腳本,使得任何人都可以通過Web瀏覽器訪問該網站近1.3 TB的數據,包括用戶的IP、住址、郵箱地址和在網站的活動軌跡。此外,這還可能會引發針對性的網絡釣魚攻擊。

已知漏洞(CVE)。這是指在真實使用場景中,腳本已經暴露出漏洞,但未能得到及時修復。2019年第四季度,某旅游服務商在一次第三方腳本攻擊的15天內暴露了30多萬用戶的個人信息,導致百萬美金的罰款。而造成此次攻擊的漏洞就來自于已知的腳本漏洞,并且該漏洞已在此前導致過數據泄漏。

防患于未然:多管齊下防范第三方腳本安全隱患

由此可見,第三方腳本帶來的種種安全風險為各種類型的網絡攻擊提供了“溫床”,但其自身又往往處于“隱秘的角落”,較難控制和監測。但對于這樣的風險,企業并非完全束手無策,目前有四種常用的應對方法,以將第三方腳本帶來的安全風險“扼殺在搖籃中”。

第一種方法是內容安全策略(CSP)白名單。內容安全策略是通過白名單的方式,檢測和監控來自第三方的安全隱患,適用于能夠嚴格遵守該策略的企業,且以防御為主。但該方法也存在一定弊端,一是如果可信的第三方被利用并成為攻擊媒介,這種策略就無法起到應有效果;二是該策略在實際操作中較難實施和維護,需要持續的手段分析和測試,如果策略設置得過于嚴格也將產生誤報;三是如果對于通用云存儲和開源項目中的資源設置白名單,會進一步增加網站的“脆弱性”。

第二種方法是仿真測試掃描。仿真測試掃描是一種離線的策略方法,適用于簡單的網站及策略更新時。但實行該方法仍然需要持續的手動分析和測試。

第三種方法是訪問控制/沙盒。訪問控制/沙盒的方式適用于頁面簡單或頁面數量較少、不包含個人驗證信息的網站。該方法可以與內容安全策略結合使用,同時也需要持續的手動分析和測試。

第四種方法是應用程序內檢測。其檢測腳本的行為、可疑的活動,著力于快速緩解攻擊、減少對業務的影響。這也是Akamai認為有效的腳本保護方式之一。持續的手動分析和測試在現實場景下較難實現,應用程序內檢測則是一個獨立于平臺且自動的、不斷演進的安全威脅檢測方式,并且不依靠于訪問控制方法,真正能夠做到保障網站安全。舉例而言,對于Magecart攻擊來說,這種方式能夠檢測可疑的行為,并且易于管理和設置,讓企業的網站始終處于監測狀態、隨時在線。另外,它還能夠排除干擾信息,根據已知的安全威脅提供情報,避免“重蹈覆轍”。最后,針對訪問的控制策略,該方法也會根據反饋不斷進行更新。

隨著第三方腳本成為現代網站的“必需品”,針對第三方腳本的攻擊發生得也越來越頻繁,且往往給企業帶來巨大損失。企業應當保持警惕,使用諸如Request Map這樣的工具檢測網站頁面第三方腳本的數量,并對網站頁面的第三方腳本予以監視,哪怕該腳本來自受信任的第三方也是如此。同時,企業應考慮適用自身網站的腳本管理方式,進行第三方腳本行為檢測,實施管理和風險控制,并將應用程序內的腳本保護與訪問控制解決方案結合起來,協同運行。

Akamai最近推出的Page Integrity Manager為Akamai客戶提供了管理腳本(包括第一方、第三方乃至第n方腳本)風險所需的檢測能力,以及根據客戶自身獨特需要制定業務決策所必不可少的實用信息 。
責任編輯:pj

聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。 舉報投訴
  • 數據
    +關注

    關注

    8

    文章

    7006

    瀏覽量

    88944
  • 服務器
    +關注

    關注

    12

    文章

    9127

    瀏覽量

    85337
  • 瀏覽器
    +關注

    關注

    1

    文章

    1023

    瀏覽量

    35331
收藏 人收藏

    評論

    相關推薦

    恒訊科技分析:ddos防護影響服務器的網絡延遲嗎?

    :通過高效過濾DDoS攻擊流量,正常用戶的請求可以得到更快處理,從而可能降低延遲。 2、流量整形優化:合理的速率限制可以保證服務器的響應時間,避免因攻擊導致的嚴重延遲問題。 二、負面影
    的頭像 發表于 12-04 12:32 ?93次閱讀

    晶臺推出KL357,電流轉換率高達50~600%

    FunctionalDiagram產品特點ProductFeatures◆電流轉換率CTR:50~600%atIF=5mA,VCE=5V◆輸入與輸出高隔離電壓(Viso=3750Vrms)◆緊
    的頭像 發表于 11-12 09:11 ?138次閱讀
    晶臺推出KL357,電流<b class='flag-5'>轉換率</b>高達50~600%

    DDoS服務攻擊是怎么回事?

    DDoS服務攻擊是一種通過大量合法或非法的請求擁塞服務器資源,導致正常用戶無法訪問服務的網絡攻擊方式。主機小編推薦下面將詳細探討DDoS
    的頭像 發表于 11-05 11:03 ?220次閱讀

    恒訊科技分析:海外服務器被攻擊需要采取哪些預防措施?

    在網絡上上線時,它就容易受到威脅,老實說,企業必須預防而不是治療。防病毒是針對您的服務器的一種可治愈的治療方法,表明威脅已經進入您的系統。您必須采取一些預防措施來防止攻擊者感染設備,而不是讓
    的頭像 發表于 10-23 15:08 ?162次閱讀
    恒訊科技<b class='flag-5'>分析</b>:海外<b class='flag-5'>服務</b>器被<b class='flag-5'>攻擊</b>需要采取哪些預防措施?

    過期Whois服務器成為黑客攻擊的新武器

    近日,網絡安全公司watchTowr創始人本杰明·哈里斯撰文透露過期Whois服務器可能會成為黑客攻擊的新武器。哈里斯在購買過期域名dotmobiregistry.net時意外發現,該域名曾用于管理
    的頭像 發表于 10-18 15:36 ?136次閱讀

    如何預防云服務器被攻擊

    服務器被攻擊的應急措施 當然,預防總是勝于治理。調查表明,如果遵循網絡安全建議,最近頻發的WannaCry勒索軟件對英國國家醫療服務體系(NHS)的攻擊可能得到有效的阻止。 為了避免未
    的頭像 發表于 07-05 11:16 ?280次閱讀

    虹軟PSAI為廣大商家提供AI圖像生成及商品圖優化服務

    近日,虹軟PhotoStudio AI(簡稱PSAI)入駐抖店服務市場,為廣大商家提供AI圖像生成及商品圖優化服務,幫助商家更好地實現商
    的頭像 發表于 07-01 17:27 ?757次閱讀

    AMD遇黑客攻擊,但稱運營無大礙

    近日,科技圈傳來一則震驚的消息:全球知名的半導體制造AMD公司遭遇了黑客組織的攻擊。據悉,一個名為Intelbroker的黑客組織成功入侵了AMD的系統,并盜取了包括未來產品詳細信息
    的頭像 發表于 06-24 11:00 ?511次閱讀

    環球晶遭黑客攻擊

    到第三季初出貨。 據百能云芯.子元器.件.城了解,環球晶這次是美國密蘇里廠受襲擊,該廠主要生產8英寸半導體硅晶圓及少量12英寸硅晶圓,目前為確保安全,廠區相關生產線正暫停中,以利仔細檢修。 環球晶指出,廠區受黑客
    的頭像 發表于 06-14 16:27 ?519次閱讀
    環球晶遭<b class='flag-5'>黑客</b><b class='flag-5'>攻擊</b>!

    黑客利用蘋果密碼重置功能缺陷實施釣魚攻擊

    若用戶忽視這些提示,不回應絲毫,隨后便可能接到冒充蘋果客服人員的假通知,聲稱監測到設備遭受攻擊,要求輸入短信驗證碼才能解封。一旦中招,黑客即可輕易篡改用戶AppleID賬戶信息,非法獲取機密數據。
    的頭像 發表于 03-27 10:50 ?491次閱讀

    帶有可編程涌入轉換率的3V至20V高電流負載開關TPS25910數據表

    電子發燒友網站提供《帶有可編程涌入轉換率的3V至20V高電流負載開關TPS25910數據表.pdf》資料免費下載
    發表于 03-14 11:15 ?0次下載
    帶有可編程涌入<b class='flag-5'>轉換率</b>的3V至20V高電流負載開關TPS25910數據表

    Allegro優化網絡分析——針對服務為中心的IT基礎設施

    發現和識別故障實時數據分析數據包分析數據包快速捕獲和解碼隨著基礎設施環境的快速變化和技術的不斷進步,用戶數量和IT基礎設施流量迅速增加,服務故障的數量也相應增加。此時,服務中斷不僅
    的頭像 發表于 03-05 08:05 ?600次閱讀
    Allegro<b class='flag-5'>優化</b>網絡<b class='flag-5'>分析</b>——<b class='flag-5'>針對</b>以<b class='flag-5'>服務</b>為中心的IT基礎設施

    為什么CY8C4025AXI-S412電源電壓轉換率(1 至 67V/ms)指定為最大67V或更低?

    為什么電源電壓轉換率(1 至 67V/ms)指定為最大 67V 或更低? 例如,它與使用外部復位IC時的復位脈沖寬度相同,如果釋放復位過快,振蕩器等將不穩定,就會出現硬件異常。 有沒有規定它的理由? MPN:CY8C4025AXI-S412
    發表于 01-22 06:02

    臺灣半導體公司遭遇勒索軟件攻擊

    來源:The Record 臺灣一家半導體制造受到網絡攻擊,據稱該攻擊是由臭名昭著的LockBit勒索軟件團伙發起的。 黑客在京鼎精密科技
    的頭像 發表于 01-18 16:15 ?524次閱讀

    選擇國內高防服務器租賃,幫助您輕松應對網絡攻擊

    隨著互聯網的普及,越來越多的企業開始依賴互聯網來開展業務。然而,網絡帶來的便利也伴隨 著風險,網絡攻擊已成為企業面臨的一大挑戰。為了保護其網站免受黑客攻擊,許多企業開始選 擇國內高防服務
    的頭像 發表于 01-18 14:20 ?937次閱讀
    主站蜘蛛池模板: brazzers欧美最新版视频| 无码人妻精品国产婷婷| 九九夜夜妹子| 国产小视频在线高清播放| 国产不卡视频在线观看| 成 人 色综合| 啊好深啊别拔就射在里面| 后入式啪gif动态图| 国产精品青青在线麻豆| 国产3级在线观看| 国产 有码 无码 电影| 床上色APP下载免费版 | 欧美精品成人久久网站| 久久久久久天天夜夜天天| 精品无码久久久久久久动漫 | 最美女人体内射精一区二区| 夜色爽爽爽久久精品日韩| 一抽一出BGM免费50分动漫| 一二三四在线观看高清电视剧| 亚洲精品久久午夜麻豆| 亚洲欧洲日韩视频在钱| 亚洲午夜精品A片久久WWW软件 | 色列少女漫画| 久久婷婷色香五月综合激情| 精品视频网站| 老师的快感电影完整版| 女神被调教成了精盆| 啪啪漫画无遮挡全彩h网站| 天天狠狠色噜噜| 神马电影院午 夜理论| 掀开奶罩边躁狠狠躁软学生| 妇少水多18P蜜泬17P亚洲乱| 国产ZZJJZZJJ视频全免费| 好男人在线观看视频观看高清视频免费 | 一级性生活毛片| 亚洲国产AV无码综合在线| 亚洲九九精品| 夜夜澡人人爽人人喊_欧美| 亚洲精品免费在线| 中文无码乱人伦中文视频播放| 亚洲国产精品嫩草影院久久|