在最近的網(wǎng)絡(luò)攻擊中，三個(gè)著名站點(diǎn)遭到了類(lèi)似Magecart風(fēng)格的攻擊，以竊取購(gòu)物者的個(gè)人信息。信息很明確：網(wǎng)站和Web應(yīng)用程序容易受到攻擊，并且現(xiàn)有的安全部署不足以防御客戶端攻擊。那么如何使現(xiàn)代Web體驗(yàn)更安全？現(xiàn)代的Web體系結(jié)構(gòu)創(chuàng)建了一個(gè)環(huán)境，在該環(huán)境中，當(dāng)今網(wǎng)站上多達(dá)70%的代碼呈現(xiàn)都不來(lái)自站點(diǎn)所有者的服務(wù)器，而是通過(guò)安全性外部運(yùn)行的JavaScript集成來(lái)控制大多數(shù)站點(diǎn)所有者所部署的。

Web開(kāi)發(fā)人員喜歡這些集成的動(dòng)態(tài)性和分析能力。不幸的是，由于這些集成很大程度上不受管理和監(jiān)控，因此它們大大擴(kuò)展了攻擊面，給企業(yè)及其最終用戶帶來(lái)了巨大的風(fēng)險(xiǎn)。

但是，在世界上95%的網(wǎng)站都使用客戶端JavaScript的世界中，您如何管理和防范這種風(fēng)險(xiǎn)?問(wèn)題是大多數(shù)組織將其Web安全策略基于監(jiān)視服務(wù)器，這在15年前就很有意義了。如今，執(zhí)行點(diǎn)在瀏覽器中，這也是當(dāng)今的網(wǎng)絡(luò)安全策略所必須遵循的目標(biāo)。

　　從Google取得提示

Google是第一個(gè)認(rèn)識(shí)到現(xiàn)代網(wǎng)絡(luò)可以在創(chuàng)新，復(fù)雜，面向JavaScript的應(yīng)用程序上運(yùn)行的公司。他們?cè)跒g覽器中內(nèi)置了強(qiáng)大的技術(shù)，提供了以前在.exe文件上運(yùn)行的那種功能。

在構(gòu)建Gmail和Google Maps的過(guò)程中，他們比其他任何人都早發(fā)現(xiàn)了這些新應(yīng)用程序中潛在的安全漏洞。因此，在他們開(kāi)創(chuàng)這些技術(shù)的同時(shí)，他們開(kāi)始構(gòu)建保護(hù)它們所需的控件。

在這一領(lǐng)域進(jìn)行創(chuàng)新的其他公司在增加功能性方面做得很出色，而且沒(méi)有彌合不斷擴(kuò)大的安全漏洞。這就是像Magecart這樣的網(wǎng)絡(luò)攻擊者想要利用的空白。

如果當(dāng)今的網(wǎng)絡(luò)是圍繞基于客戶端的，基于JavaScript的應(yīng)用程序構(gòu)建的，那么我們有理由對(duì)這些應(yīng)用程序使用相同的基于標(biāo)準(zhǔn)的安全性。

這些都是所有現(xiàn)代瀏覽器和Web應(yīng)用程序框架所固有的，但數(shù)量驚人的公司卻利用了這一優(yōu)勢(shì)：美國(guó)Alexa 1000網(wǎng)站中只有2%的安全性足以抵御攻擊英國(guó)航空公司和梅西百貨公司的攻擊類(lèi)型。

攻擊瀏覽器

如果攻擊者能夠進(jìn)入瀏覽器，他們可以釋放出幾種攻擊方式：他們可以破壞服務(wù)器（英國(guó)航空公司就是這種情況），他們可以破壞我們剛才提到的任何第三方應(yīng)用程序（以及因?yàn)樗鼈兛赡芤蕾囉诘谒姆胶偷谖宸剑駝t可能會(huì)損害客戶。

實(shí)際上，這意味著他們可以竊取數(shù)據(jù)-最終用戶通過(guò)cookie或存儲(chǔ)在本地?cái)?shù)據(jù)庫(kù)中的數(shù)據(jù)以某種形式（例如信用卡，用戶憑據(jù)，醫(yī)療保健信息）輸入數(shù)據(jù)。他們還可以將用戶重定向到競(jìng)爭(zhēng)對(duì)手或惡意站點(diǎn)，向他們顯示競(jìng)爭(zhēng)對(duì)手或惡意內(nèi)容，或劫持其機(jī)器以用于加密采礦。

靜態(tài)數(shù)據(jù)和移動(dòng)數(shù)據(jù)由已建立的防御機(jī)制(如身份驗(yàn)證，加密和訪問(wèn)控制)提供支持。但是在現(xiàn)代網(wǎng)絡(luò)上，服務(wù)器不再需要處理數(shù)據(jù)，它所要做的只是發(fā)送JavaScript文件。

執(zhí)行的重點(diǎn)已經(jīng)轉(zhuǎn)移到瀏覽器的客戶端上，您真正需要的是保護(hù)瀏覽器本身不受攻擊。有很多現(xiàn)成的且非常有效的安全措施（CSP，SRI，Referrer-Policy等）。

但是，公司采用這些措施的速度很慢，并且通常缺乏實(shí)施這些措施的資源。安全團(tuán)隊(duì)沒(méi)有行銷(xiāo)團(tuán)隊(duì)那樣的預(yù)算，專(zhuān)注于應(yīng)用程序安全的網(wǎng)絡(luò)安全人才之間存在巨大差距。

　　我們需要一種新的思維方式

彌補(bǔ)這些漏洞需要改變我們對(duì)網(wǎng)絡(luò)安全的思考方式。在過(guò)去的十年中，Web發(fā)生了如此巨大的變化，人們以我們未曾想到的方式使用它：考慮移動(dòng)Web的增長(zhǎng)和物聯(lián)網(wǎng)的發(fā)展。我們的安全方法沒(méi)有跟上步伐。

每個(gè)網(wǎng)站都可以具有與Google用來(lái)保護(hù)客戶信息的相同的安全控制措施和政策。對(duì)于安全從業(yè)人員來(lái)說(shuō)，過(guò)去已經(jīng)來(lái)臨，應(yīng)該更加密切地關(guān)注數(shù)據(jù)源的高度針對(duì)性的問(wèn)題，并開(kāi)始勤奮地立即部署客戶端安全性。想了解更多信息安全的信息，請(qǐng)繼續(xù)關(guān)注中培偉業(yè)。