博客

客户端防御: 你的节日安全盔甲中缺失的那一部分

Jim Downey 缩略图
吉姆·唐尼
2022 年 12 月 9 日发布

网上假日购物季正在进行中,电子商务零售商预计消费者支出将强劲: 根据零售信息系统 (Retail Info Systems) 的一份报告,德勤预计,2022-2023 年假日季,电子商务销售额将同比增长 12.8% 至 14.3% 总销售额将达到 2600 亿美元至 2640 亿美元之间。

您的电子商务应用程序上有很多活动 - 但并非所有活动都来自快乐的假日精灵检查他们的购物清单。

每年的这个时候,网络威胁行为者都会加大活动力度,希望利用节日期间网上购物的激增来牟取利益。

即将在您身边的浏览器中推出: 客户端网络威胁

客户端安全攻击已经变得如此普遍和危险,以至于 OWASP 编制了一份新的基于浏览器的十大安全威胁列表。 其中包括许多在假日季威胁电子商务网站的客户端漏洞,例如表单劫持、数字盗刷、Magecart 以及其他因依赖第三方 JavaScript 源而引入的基于浏览器的 JavaScript 漏洞。

为了改善客户旅程,动态电子商务网站在其应用程序中嵌入第三方代码,以实现常见功能,例如支付表单、聊天机器人、广告、社交分享按钮和跟踪脚本。 这些 JavaScript 特性提供了开箱即用的功能,加快了产品上市时间并释放了开发资源,但它们也导致了“影子代码”——您没有编写、无法控制、在您不知情的情况下发生变化且不会通过您组织的安全审查的代码。 如果无法查看环境中运行的代码,公司就无法检测到代码何时发生变化或被破坏。 这些脚本为威胁行为者提供了广泛的攻击面,使得安全事件直接发生在客户的浏览器中,而用户或商家却没有意识到。

客户端攻击的类型

发起客户端攻击是为了拦截和操纵用户会话,目的是控制和破坏网站、进行网络钓鱼攻击、呈现虚假内容、创建新表格、劫持合法表格要求用户提供其社会安全号码或银行帐户信息,或接管用户的帐户。 捕获的数据通常会被泄露到攻击者的命令和控制服务器。

有几种类型的客户端攻击旨在利用第三方 JavaScript 文件。

Magecart 攻击可能是最为人熟知的攻击。 Magecart 是一系列软件供应链攻击的广义术语,包括表单劫持和数字盗刷(也称为电子盗刷),它们从在线网络支付表单中窃取个人数据(最常见的是客户详细信息和信用卡信息)。 根据F5 Labs 的《2022 年application保护报告》: 在预期数据泄露中,表单劫持攻击构成了导致违规披露的大部分网络漏洞。

犯罪分子通常利用所获取的客户数据进行恶意行为,例如身份盗窃或账户接管,或者通常只是收集信息然后打包并在暗网上作为数据转储出售。

阻止客户端攻击的最佳实践

只要犯罪分子能够将恶意代码嵌入到网络应用中,客户端攻击就会继续成为在线组织面临的挑战,并且这些漏洞在节假日期间尤其具有破坏性,因为此时购物者和网络安全团队都有许多其他问题需要关注。 由于很少有公司意识到这些类型的攻击,也很少有公司建立适当的防御方法来检测和阻止这些攻击,攻击者将继续获得成功。

但是,您可以实施以下一些最佳实践来帮助降低客户端风险:

  • 进行脚本库存审计。 盘点您网站上嵌入的所有脚本,确定谁拥有和授权它们、它们用于什么用途以及如何维护它们。 这包括直接添加到页面 HTML 中的脚本以及通过标签管理器添加的脚本。 了解您正在实施的第三方代码的作用,以及它是否正在访问敏感数据或执行关键功能。 组织不仅需要了解其网站上的 JavaScript,还需要了解脚本正在收集的内容,以防止违反欧盟 GDPR 和加州消费者隐私法案 (CCPA) 等数据隐私法规,并确保遵守即将出台的PCI DSS 要求6.4.3 和 11。
  • 建立第三方风险管理框架。 建立添加、监控和维护脚本的治理结构,以确保每个脚本的完整性。 创建一个流程,使您能够识别 PII 或其他敏感信息请求何时涉及将数据发送到新域。
  • 应用零信任对您网站上的所有脚本采取零信任方法。 永远不要对任何人给予完全的信任。 建立在添加新脚本或修改现有脚本时监控、检测和警报的能力。 子资源完整性 (SRI) 和内容安全策略 (CSP) 等检测技术仍然有价值,但已不足以保护当今不断变化的 Web应用。 应用零信任的组织的数据泄露成本比未使用零信任的组织低 20.5%
  • 制定快速缓解策略。 探索创建一个简单的一键式缓解流程,该流程允许您使用提供一键式缓解的工具在交互式仪表板上查看脚本更改和警报,以阻止恶意窃取数据的网络调用。

结论: 不要忽视这个假期的客户端攻击威胁

当客户在假期期间登录您的电子商务网站的帐户时,他们是将敏感个人数据信任给您。 采取必要的步骤确保在您的电子商务环境中运行的第三方脚本不会造成危害。

使用F5 分布式云客户端防御保护您的公司和客户免受客户端 JavaScript 攻击,这是一种监控和缓解解决方案,可保护客户凭证、财务详细信息和个人信息免遭 Magecart、表单劫持和其他客户端供应链攻击。 此项基于 SaaS 的服务部署快速简便,能够提供即时价值,保护客户的个人和财务数据不落入犯罪分子手中,并防止数据丢失而损害消费者信心。

观看视频“商家如何防御 Magecart 攻击”以了解更多信息,并观看F5 分布式云客户端防御的演示

不要让受损的 JavaScript 源破坏您公司和客户的假期。