2017年底,谷歌向DoubleClick平台用户发布了一项关于设计缺陷的警告,该缺陷使他们的网站容易受到第三方供应商的跨站脚本(XSS)攻击。这不是第一次谷歌广告有问题,但这些通常来自于我们的管理方面。这是一个设计缺陷,通过在会话过程中劫持脚本来降低用户体验。跨站点脚本问题并不新鲜。它们甚至不是今年最大的数字营销故事;这种类型的漏洞早在20世纪90年代就已经存在了。然而,最近黑客们发现了更新和更狡猾的方法来利用它——而且规模不小。Facebook在2018年的大部分时间里都在与各种跨站攻击和负面宣传作斗争,试图保护数百万处于风险中的用户的平台。在2018年下半年,一些世界上最大的平台(包括Reddit、Amazon Music、Tinder、Pinterest)由于第三方跨站漏洞,有6.85亿账户面临风险。这个问题发生在“iframe busters”上——域服务器上的HTML文件,它决定访问者如何使用显示广告,有效地允许广告显示大于其封装的iframe。现在,网络攻击者已经找到了一种方法,在破坏者中添加任意代码,使网站和访问者容易被渗透。在消费者对网络安全的信心已经很低、数据完整性问题成为头版新闻的时候,这削弱了访问者的信任。在本文中,我们将了解XSS攻击,并概述如何让广告商自己以及他们的合作伙伴(出版商和供应商)避开攻击。什么是XSS攻击?
跨站点脚本有一个内置的缺陷,可以通过在嵌入脚本中插入恶意代码来操纵动态web内容。它通常影响用于增强广告的Javascript代码,但它也可以注入到任何类型的活动代码中,如ActiveX、Flash或VBScript。利用编码中的这一弱点,可以通过重定向(或误导)网站访问者、访问cookie或安装恶意软件来造成严重破坏。它可以劫持用户的整个会话,并将他们发送到另一个网站。一个网站的规模越大,互动性越强,黑客就有越多的插入点来探测其弱点。
这是系统缺陷和XSS攻击很难检测和预防的部分原因。编码插入到客户端,依赖于用户生成的操作进行启动。有意义的渗透测试依赖于预测用户和应用程序之间的每一个可能的交互,以便有效,它必须能够检测每一个可能的访问点。
谁受到最新一轮XSS攻击的影响?
货币化是电子商务网站、博客、视频博主和其他在线创收的主要方式之一。尽管广告很烦人,但它们是在线商家的生命线。2018年,近25%的企业公司将50%或更多的营销预算用于重新定位广告。显示广告还允许网站所有者为他们的访问者提供价值,同时为用户保持一个真正免费的免费互联网。今天的电子商务环境都是关于提供高质量的用户体验(UX)。谷歌算法甚至会奖励你在serp上的更高位置。讽刺的是,这个漏洞通过谷歌鼓励网站所有者使用的盈利界面影响了他们的用户基础。它不会影响静态内容,但任何使用动态web内容的应用程序或网站,如果需要用户响应才能启动操作,在技术上都容易受到XSS攻击。这意味着游戏、使用可点击广告的网站以及拥有大量用户生成内容的电子商务网站(如eBay)都可能被劫持。这个漏洞著名Ects平台,广告商,网站所有者和他们的流量。尤其以广告为例,这个行业的整个供应链发现自己在过程中的每一步都处于XSS供应商的危险之中。下面是受影响的参与者及其影响方式的快速列表:出版商发现他们的网站被黑客入侵。2. 谷歌的网络与坏演员(坏广告商)妥协了。3.由于广告更具攻击性,供应商获得的流量质量较低。4. 广告商是遵守规则的好人,他们受到了过度的影响。如果不立即处理和纠正,这类攻击也会破坏消费者的信任和信心。
攻击者通过寻找Javascript或Flash代码的弱点来插入替代指令。
任何时候该应用程序被使用,恶意代码就会被激活,黑客想要的结果就会被执行。最常见的插入点是web表单、搜索字段、论坛和cookie。此外,即使访问者使用虚拟专用网络(VPN)加密了他或她的流量,XSS攻击仍然“有效”。vpn可以有效地保持匿名性,但每当您的访问者单击受感染的第三方广告、执行搜索或遇到脚本时,XSS攻击就会渗透。整个会话都可能被劫持,代码甚至可以访问用户的帐户。那对生意不好。这次最新的攻击攻击了iFrame Buster工具包的缺陷,该工具包用于在DoubleClick上为出版商、DoubleClick Ad Exchange和其他允许网站所有者在iFrame之外显示广告的平台上扩展广告。iFrame Buster中的HTML代码允许GIF、JPEG、JavaScript、HTML和Flash等创意代码在包含它的帧之外显示。例如,当用户将光标移到广告上时,横幅会展开。
阅读脚本的网站所有者、服务器或浏览器不知道存在不属于该脚本的恶意代码,主机平台或用户也不知道。这一问题主要是由于广告开发者使用内部框架破坏应用程序错误地编写了内容。
概念证明(PoC)是由一名使用Zmx名字的IDM员工通过完全披露邮件列表条目发布的。它提供了攻击如何发起的示例代码和其他示例。还有一份受影响的供应商和广告商名单,包括Undertone、Interpolls和IgnitionOne (netmng.com)。技术研究员Randy Westergreen也提供了样本和对最新XSS问题的解释。防止这种攻击的唯一方法是通过勤奋的测试和/或从你的网站上删除任何动态的,交互式的内容。由于许多电子商务网站依靠访问者的输入来创收,后一种选择是最不具吸引力的。这就使得勤勉的探测和测试成为您的首要和最后的防御。最新的攻击在用户与带有横幅广告的网站交互时访问用户的cookie,但它也可以附加到电子邮件、url和其他交互的、可点击的内容。目前的问题被认为源于Web 2.0和Ajax技术,它们允许更隐蔽的渗透。
谷歌已经对他们最近的第三方XSS问题采取了行动。作为对最初发现的回应,这家科技巨头的发言人发表了一份声明:“我们已经禁用了这些供应商,删除了这些文件,并在我们的帮助中心添加了说明,以帮助出版商管理任何额外的步骤,以确保他们的用户是安全的。那么,广告创作者、网站管理员和开发人员该如何保护网站和访问者免受未来的跨站攻击呢?在短期内,这可以阻止流血,但也消除了很多网站功能。长期的解决方案包括用过滤用户输入并在安装之前删除恶意脚本的最佳实践替换有bug的代码。修补当前发现的任何缺陷和漏洞,并且在部署之前始终测试代码。执行渗透测试
这允许管理员检查恶意代码,并确定删除它将对网站或应用程序功能的影响。该分析应该在活动代码上执行,并使用至少一个小时的测试运行,以根除未经授权的脚本,以便删除它们。这可以通过在每个页面的HTML脚本中插入谷歌Analytics的跟踪代码来实现,或者通过使用谷歌标签管理器来针对特定的脚本。使用严格的白名单策略
以及与利用该漏洞的广告商(或网络)合作的供应商。据Westergren说,他发现的大多数XSS漏洞都是由于糟糕的白名单实现造成的。换句话说,发布者未能限制应该被授予访问执行脚本的某些域。他接着概述了一些使用iFrame Buster的高流量网站,限制较弱,因此允许攻击者入侵域,包括Jivox和Adtech。DoubleClick的广告商应关注谷歌关于XSS和其他广告利用的更新,关注受影响的域名,并有选择地从您的广告活动中删除它们。幸运的是,DoubleClick内置了控制广告出现在哪个出版商上的功能。根据谷歌的知识库,排除域名将阻止您的广告出现在该域名或该域名内的任何页面上。因此,为了避免在被XSS破坏的域名上做广告,定期在DoubleClick中审计和更新你的“黑名单”,你就会处于安全状态。在平台能够完全预测和阻止XSS攻击之前,黑客将继续利用用于指导动态内容的脚本中固有的漏洞。自从电子商务出现以来,这个问题就一直困扰着网站所有者,现在是时候拿出一个全行业的解决方案了。但现在,确保你遵循这些策略来保护你自己的DoubleClick广告免受这些攻击。关于作者
Dan Fries是一个自由撰稿人和全栈Rust开发人员。他在寻找技术趋势的融合,特别关注网络安全和云基础设施即服务(IaaS)应用。丹喜欢滑雪,和他的宠物小猎犬泰迪住在香港。WordStream的客座作者是在线营销社区的专家、企业家和充满激情的作家,他们为我们的博客带来了广泛话题的不同观点。
参见客座作者
的其他文章,更多像这样的文章
学习如何(或不如何)与其他企业合作,以增加你的曝光率和建立你的声誉。
64个简单而有创意的11月营销想法(+例子!)
啊,11月。夏天已经过去很久了,感觉秋天才刚刚开始,然而冬天和节日的氛围却开始慢慢袭来——就像客人在你的派对开始前就到了,而你还没有完全准备好。除了这不是一个派对,这是你的生意,你试图头脑风暴创造性的方法[…]
是一个简化的商业预算指南,这样你就可以实现你的目标,发展你的业务,并保持财务(和精神)平静。
评论
评论前请阅读我们的评论政策。
