跨境电商系列 | 防范第三方脚本对数据隐私与安全的侵蚀
这样,一个功能齐全的在线商务网站,除了商家开发和控制的内容外,不可避免地需要嵌入大量不能由商家直接控制的第三方脚本。此时,你会好奇这样一个问题:用户实际访问的网站和体验是否与您最初的期望完全一致?
第三方脚本应用
如今,大多数网站依靠第三方JavaScript脚本来提供用户期望的动态体验。无论是将客户数据转化为个性化的浏览体验、跟踪和重定向访问者以增加网站流量,还是将其链接到社交媒体平台,第三方脚本都深入嵌入了大多数网站和应用程序。
据Akamai统计,Akamai客户网站页面约67%的页面资源属于第三方脚本;80%以上的网页至少包含一个已知的第三方库安全漏洞(CVE)。
由于企业无法直接控制第三方脚本的具体内容和行为,无论脚本本身存在安全漏洞,还是通过后续更新产生企业不想要的行为或操作,都会造成企业难以轻易发现和消除的风险,如用户数据被窃取或泄露,或因漏洞遭受更复杂的攻击。
事实上,这样的威胁已经发生了。英国一航空公司网站因第三方脚本存在漏洞,已被黑客部署跨网站攻击脚本,通过注入黑客代码更改网站行为。骇客成功劫持和向他们自己控制的服务器发送航空公司客户数据,最终泄露出38万订单细节。据媒体披露,该航空公司不仅名誉受损,还被罚款1.83亿英镑。
真实案例:
这种攻击的风险和后果有多严重?我们可以通过两个真实的案例获得更直观的感受。
在Akamai帮助电子商务客户处理的Megacart攻击中,电子商务网站支付页面插入了恶意代码。根据分析,当用户访问支付页面并输入信息时,恶意代码会记录用户输入的所有信息,并将其传输到黑客指定的位置。由于WAF类型的安全产品无法实时监控浏览器端的脚本行为,这种攻击往往非常隐蔽,难以察觉,但后果通常是毁灭性的。
第三方脚本导致的用户信息泄露问题也很严重。Akamai的一个客户曾经遇到过第三方脚本发起的Telegrambot数据泄露事件。第三方脚本将记录用户输入的PII数据(如信用卡信息等。),并借助TelegramAPI传输。
作为一种特殊的窃取信息的脚本,只有当用户真正输入信息,即在网页上输入信息内容并按下返回键时,才会开始运行,因此常规测试工作可能难以检测。
为了防止上述基于第三方脚本的数据盗窃攻击,企业必须首先知道发生了这种攻击。但由于这种攻击的秘密性,这是非常具有挑战性的。
在受到攻击时,公司需要精确地知道如何减轻这种情况,并且能快速地采取措施防止大规模用户敏感信息泄漏。同时,需要注意的是,最安全的方法是在检测到攻击时立即阻止攻击。
为了获得持续的保护,企业需要能够轻松识别网页供应链中包含已知漏洞的脚本。只有尽快发现潜在问题,才能在网络犯罪分子入侵安全漏洞之前发现并修复。
防范措施
幸运的是,在PageIntegrityManger的帮助下,上述两个案例和其他遇到类似麻烦的Akamai客户已经妥善解决了问题。
AkamaiPageIntegrityManager(以下简称PIM)是一种实时的真实用户行为检测技术,可以自动识别和帮助防止基于脚本的数据盗窃,防止此类问题的发生。
PIM在用户浏览器中运行,监控受保护页面中所有脚本的执行过程。当脚本发生行为变化时,使用机器学习技术来评估未经授权或操作不当造成的风险。当发生高风险事件时,解决方案会向安全团队发送警报和足够的信息,帮助他们制定有效的缓解决策。
这样,我们就可以识别有漏洞的资源,检测可疑行为,防止恶意活动,帮助网站抵御JavaScript的威胁。通过检测入侵的JavaScript行为,该产品可以最大限度地降低用户数据被盗的风险和对用户体验的负面影响。借助真实的实时观察,安全团队能够迅速理解基于脚本的威胁并采取相应的行动。
一般来说,PIM可以帮助用户通过检测、报告和主动防御有效消除第三方网页脚本带来的风险。
测试:当用户将PIM部署到自己的网站时,PIM将立即开始跟踪页面上的第三方脚本(甚至可以跟踪第一方脚本的一些行为),并检查是否有信息传输事件。同时,PIM将贫穷所有脚本信息,监控浏览器插件,并列出与网站互动的一些信誉差域名。
报告:如果发现泄露事件,PIM会实时报警,告诉用户事件发生在哪个页面,哪些信息泄露,会产生什么影响。这样,用户就可以清楚地知道读取了什么样的数据,以及以什么方式传输了什么样的数据。同时,报警会提供一些实用的链接,方便用户快速查看相关细节并立即采取措施。PIM作为PCIDSS的合规工具,不会存储用户的敏感信息,只会检测是否发生了某些事件(比如剧本读取了哪种敏感数据)。
主动防御:PIM还具有一些主动防御功能,可以让用户通过设置直接拒绝某些第三方域名,或者拒绝某些域名访问敏感的cookie或者阅读网页表单中的敏感数据。
免费试用,对您的网站进行全面体检 @cyber_akamai。
AkamaiPageIntegrityManager是一种实时的脚本行为检测工具,可以自动识别和帮助防止基于脚本的数据盗窃,防止此类问题的发生。
PIM易于实施和操作,可持续分析网站上所有JavaScript行为。当检测到可疑脚本行为时,网站运营商将立即收到通知,并就如何消除威胁提出建议。您可以一键轻松缓解威胁,实时防止信息泄露。
经过特殊设计,PIM可以在不中断应用程序的情况下立即部署和运行。它始终处于运行状态,始终处于正确的位置,始终帮助用户抵御第三方网页脚本的风险和攻击。
跨境电商系列 | 防范第三方脚本对数据隐私与安全的侵蚀相关推荐
- 跨境电商如何通过打好数据底座,实现低成本稳步增长
OceanBase 资深解决方案架构师孟磊围绕"原生分布式数据库助力跨境电商低成本稳步增长"主题进行解读,结合实践与案例,探讨跨境电商如何通过打好数据底座,保障未来业务稳步增长的同 ...
- 【跨境电商平台规则与合规研讨会】在跨境驿站顺利召开
昨日,深圳市标准技术研究院在跨境驿站举办了跨境电商平台规则与合规研讨会.宝通达.亚马逊.欧税通等跨境电商相关企业及京师(深圳).君龙律师事务所应邀参加了会议. 为充分了解深圳市跨境电商行业合规风险现状 ...
- 跨境电商,独立站和第三方平台孰更具优势?
随着云计算.大数据.人工智能等互联网技术的发展,全球贸易环境变化,正在进入数字化.信息化.互联网化的 "新贸易"时代.全球贸易呈现更扁平.更便捷.更智能的趋势.同时,全球消费水平的 ...
- Paypal、Stripe、Braintree,跨境电商金流第三方支付该用哪家?
Paypal.Stripe.Braintree,跨境电商金流第三方支付该用哪家? 在台湾做跨境电子商务生意,电商网站的金流肯定是一个最大的麻烦,Paypal或是Stripe和Braintree则是国际 ...
- 跨境电商亚马逊爆款标题如何写?之listing系列
我们知道,亚马逊的核心流量就是在标题上面,这是新品推广初期,吸引点击的一个重要因素,下面聊聊标题的几种写法: 1.淘宝里面的相似产品,直接谷歌翻译成英文,开头加个品牌,形成标题 2.参考竞品链接的标题 ...
- 打造私域流量系列:跨境电商通过4种方式提高转化率
跨境电商建立私域流量过程中,提高转化率是一个重要且关键的因素,提高转化率也相当于提高收益.若卖家想要增加自己店铺或网站的销售额,那么转化率是我们需要关注的一个数据.话说回来转化率如此重要,我们该如何提 ...
- 跨境电商-shopline
今天就以shopline和各位探讨下 1.总述 2.独立站概述(产品价值,行业特性,用户特征) 3.产品拆解(行业,定位,资源,能力,场景,体验) 4.总结 1.总述 了解跨境电商-独立站模式-国内目 ...
- 互联网晚报| 8月18日|未婚已育女性办理生育津贴不需要结婚证;拼多多将上线跨境电商平台;小米汽车将采用宁德时代麒麟和比亚迪刀片...
国家医保局:未婚已育女性办理生育津贴不需要结婚证等材料 8月17日,国家卫生健康委就<关于进一步完善和落实积极生育支持措施的指导意见>有关情况举行发布会.有媒体提问,生育津贴的发放有地区提 ...
- PingPong “光年”助力跨境电商小微企业解决融资难题
-填补跨境卖家资金缺口 杭州2018年9月28日电 /美通社/ -- 跨境出口电商在国内出口贸易中呈现规模不断上涨的趋势,中国卖家数量持续增加,在各电商平台第三方卖家中有着相当大的占比.然而随着行业的 ...
最新文章
- ISA Server 2006 的内部客户端概念
- 合成存储方法,局部/全局变量
- python数字处理技巧(1): 精度舍入、精确运算、格式化、进制数、大数打包解包、复数、NaN、分数
- cserialport 循环发送信号_10个动作三个循环,练完至少瘦一圈,吃多了也不用担心...
- java sleep方法_一文搞懂 Java 线程中断!
- ubuntu16.04下安装NS-2.35以及对simple例的理解
- 华为服务器更改从系统盘启动不了,华为服务器设置启动项
- 数据结构学习笔记(图)
- CS 231n 学习笔记 03——课程3.1 损失函数
- Sql Server CHAR类型
- caffe的python接口学习(4):mnist实例---手写数字识别
- 面试经验 - 面试官让你问问题,你该问什么?
- android 功能防抖,Android RxJava 实际应用讲解:功能防抖
- noip2017广东提高组复赛成绩
- 【WebLogic】解决opatch执行报错“Exception occured: fuser could not be located”
- 藏不住了,乐视带着新品手机归来!
- 手机沙盒隔离软件_虚拟隔离沙箱|隔离沙箱(BufferZone Pro)下载 v4.07 免费版 - 121下载站...
- nvim 的编译与安装
- Android 9.0 蓝牙扫描流程
- 等级分布图的边界元素的处理