即使是大型的应用程序和网站平台也可能成为安全漏洞的牺牲品。
因应GDPR(European General Data Protection Regulation, 欧洲通用数据保护条例)和其他已经生效的隐私法规,电子商务卖家已经相应的调整了他们的独立站设定以更好地保护消费者数据的安全。但这足够了吗?作为独立站卖家、网站站长或者运营人,你还需要了解什么?
最近的漏洞报告证明,即使是大型的电子商务和社交平台也很容易成为跨站点脚本(或XSS)攻击的对象,即使平台本身是安全的,也会被迫发生这些攻击。由于面向客户的平台使用第三方应用程序提供商的产品存有漏洞,用户数据暴露给恶意攻击者的风险便会增加。不幸的是,这是我们所有人都面临的风险。
数据隐私制度
也许2018年最大的科技新闻是欧洲通用数据保护条例的执行,该条例旨在保护欧盟公民的个人数据不被未经同意收集和使用。对于GDPR,任何处理欧盟公民数据或将欧盟公民视为其客户的企业都需要明确告知所述用户数据收集工作并寻求明确的内容。
法规规定,向欧盟公民或居民提供服务的任何商业服务和网站都需要遵守此法规,因此GDPR甚至在欧洲以外也有影响。鉴于最近国际社会对于消费者和业务数据隐私的关注,全球范围内许多以隐私保护为重点的法规陆续出台。
即使越来越注重增强隐私,当企业无意将用户数据丢失给恶意黑客时,后续的风险仍然存在。鉴于服务的协作性质(例如,使用支付网关或物流提供商的电子系统),这些薄弱的环节很可能被渗入潜在的违规操作。在这方面,当第三方应用程序将用户置于危险之中时,整个操作流程可能会失控,用户的利益也将受到损害。
不可一世的威胁 XSS
在所有的入侵手段之中,XSS攻击是一种数据注入的最简单的形式。恶意客户端代码由攻击者注入其他合法网站,通过将代码(通常是JavaScript)注入网站或Web应用程序的输出中,通常通过网页中的搜索字段、反馈表单、文本输入字段乃至存储在用户浏览器中的cookie等表单以使恶意代码奏效。
当毫无戒心的用户访问受影响的网站时,注入的代码提供有效的载荷功能,包括执行代码、窃取数据、控制用户的会话或将后门安装到计算机系统或网站之中。通过用户的单个会话中浏览器和服务器之间的大量交互,XSS甚至可以用于从第三方网站提取现有的cookie数据(含有用户名和密码),从而以用户的身份欺诈服务器、篡改数据或挟持用户完成付款等危险操作。
哪些平台容易受到攻击?
最近在包括Tinder, Shopify和Yelp在内的著名社交网站和电子商务网站上发现了最新的DOM-XSS(文档对象模型-XSS)漏洞,VPN Mentor于2018年末发布的报告称,全球多达6.85亿用户遭遇数据窃取。
深入研究风险的潜在程度之后,安全研究人员发现XSS漏洞包括汇款服务Western Union和图像共享服务Imgur。受此漏洞影响的其他服务包括Canva,Letgo,Lookout,Fair,亚马逊音乐,TicketMaster和Reddit等。
假设漏洞起源于第三方移动链接平台,该平台统一了跨不同设备和渠道的用户体验,该服务为其合作伙伴站点(包括上面列出的站点)提供了别名子域(alias subdomain),指向这些子域的链接将导致用户系统感染黑客注入的脚本并遭受数据窃取。
以上所涉及的公司在收到XSS风险报告后迅速修复了潜在的漏洞,但是,这排除了攻击者可能已发现漏洞并利用漏洞窃取数据的可能性,也意味着最近或经常使用上述服务的用户如Tinder,需要仔细检查他们的帐户是否未受到损害,建议用户更改密码和清除浏览器缓存(cookie)是个好主意。
对于企业而言,特别是那些运行面向消费者的平台,甚至是线上办公的企业,有几种方法可以将风险降至最低,正如ComputerWeekly所解释的那样,这涉及构建具有严格安全性和开发生命周期(security development lifecycle)的应用程序,意味着不断构建和更新以减少或消除设计和编码中与安全相关的技术错误。我们假设应用程序正在接收的所有数据都是来自不受信任的来源,即使是已经登录和验证的用户,建立于这个假设的基础之上,着手业务逻辑调整和技术完善。
以下是我们可以采取的一些防范措施:
-
不盲目信任用户的输入。只要这些数据跨越信任边界,就要不断验证类型、长度、格式和数据范围的输入;
-
减少客户端的输入,以防止不需要的代码或字符集传递的可能性;
-
将网页的字符集设置为最低限度(ISO-8859-1),这对于英语和大多数欧洲语言来说已经足够了;
-
要求用户在访问关键服务之前重新进行身份验证;
-
如果检测到来自多个IP地址的访问,则立即终结登录会话的有效期;
-
利用漏洞扫描程序实时跟踪此类风险;
-
在应用程序或网站上线之前进行渗透测试。
XSS攻击已经成为头条新闻,不论是跨境电商独立站还是其他网站,专注于安全风险是有意义的,特别是考虑到更加严格的数据隐私和保护。这一点很重要,因为大多数网站在没有客户端脚本的情况下都无法工作。
如果你是项目经理或者运营人员,请务必与网站管理员联系,让他们带你了解有关数据保护的这些要点,积极主动地保护业务和客户安全。
请在下面的留言中分享你的观点,必答回响。
长
按
关
注
跨境电商独立站
大数据+AI人工智能的跨境电商运用
置身舒适行业圈外另辟蹊径的干货分享,跨境电商独立站、外贸自建站和企业形象站,从新手到卓越。大数据体系→信誉构建→AI裂变运维,选品/收款/物流/SEO/流量/KOL网红公关/SNS营销/答疑/套路拆解。