第三方內(nèi)容造成的安全問(wèn)題對(duì)于網(wǎng)站站長(zhǎng)而言并不陌生。從第三方工具、應(yīng)用程序廣告在網(wǎng)絡(luò)上的普及程度以及對(duì)網(wǎng)絡(luò)安全的影響來(lái)看，這無(wú)疑給web 2.0企業(yè)帶來(lái)很大的挑戰(zhàn)。

根據(jù)安全公司Dasient表示，新網(wǎng)站被感染的時(shí)間為平均每1.3秒。而在2009年，每個(gè)月受惡意軟件感染的網(wǎng)頁(yè)大約有2百萬(wàn)。對(duì)于網(wǎng)站所有者而言，這些感染都是源自Dasient公司首席技術(shù)官Neil Daswani在7月26日發(fā)表的報(bào)告中所提及的“結(jié)構(gòu)性漏洞”，而這就是因?yàn)榈谌�方�?yīng)用程序、工具和惡意廣告引起的安全問(wèn)題，這種漏洞一旦被利用將能夠威脅整個(gè)網(wǎng)站。

“傳統(tǒng)的部署漏洞（如SQL注入或者跨站腳本）都能夠通過(guò)修復(fù)軟件來(lái)‘予以修復(fù)’，”Daswani表示，“對(duì)于結(jié)構(gòu)性漏洞而言，唯一與眾不同的特點(diǎn)就是，沒(méi)有任何問(wèn)題是可以真正被修復(fù)的，網(wǎng)站依賴(lài)于第三方的內(nèi)容，如果決定不使用廣告通常不是好辦法�！�

從很多方面來(lái)說(shuō)，這是一個(gè)老問(wèn)題的新轉(zhuǎn)折，Gartner研究所分析師John Pescatore指出。

“這與早期web 1.0的CGI（共同網(wǎng)關(guān)界面）的問(wèn)題非常類(lèi)似，很多小工具如留言板、計(jì)數(shù)器等中的小問(wèn)題都會(huì)被利用，”P(pán)escatore表示，“首先，很多小工具中存在漏洞以致讓黑客利用，而后來(lái)則是，更聰明的攻擊者使用木馬版本，然后只需要利用他們自己的后門(mén)代碼�！�

而現(xiàn)在，同樣的問(wèn)題也發(fā)生在第三方工具中。

“利用第三方提供的任意JavaScript式網(wǎng)絡(luò)工具的網(wǎng)站其實(shí)都授予了第三方完整的DOM訪問(wèn)權(quán)限，與他們本地代碼一樣的訪問(wèn)權(quán)限，”白帽子安全首席技術(shù)官Jeremiah Grossman表示，“因此，網(wǎng)絡(luò)工具的整個(gè)基本硬件/軟件基礎(chǔ)結(jié)構(gòu)也就成為了網(wǎng)站所有者隱式或者顯式信任模式的一部分。”

“企業(yè)在部署第三方網(wǎng)絡(luò)工具前，必須對(duì)第三方攻擊的安全性和可靠性進(jìn)行嚴(yán)格的審查，”Grossman表示。

“這將要求第三方網(wǎng)絡(luò)工具供應(yīng)商在法律上同意進(jìn)行安全評(píng)估，”他指出，“其次，雖然并不總是出于業(yè)務(wù)原因，網(wǎng)絡(luò)工具不應(yīng)該用在要求高級(jí)別安全保障的網(wǎng)站中。”

此外，“對(duì)于IE6用戶(hù)及以上版本用戶(hù)，iframes支持security=restricted屬性，能夠指定網(wǎng)絡(luò)工具必須在瀏覽器的限制網(wǎng)站安全區(qū)域運(yùn)行，”Grossman補(bǔ)充說(shuō)，“限制網(wǎng)站安全區(qū)域能夠防止運(yùn)行JavaScript或者VBScript以重定向到其他網(wǎng)站以及其他惡意行為，如果網(wǎng)絡(luò)工具供應(yīng)商是不可信任的或者不需要這種功能，那么強(qiáng)烈建議大家，只有在需要的時(shí)候才使用這個(gè)功能�！�

在Dasient發(fā)表的報(bào)告中，該公司對(duì)大約5000個(gè)網(wǎng)站進(jìn)行了分析，并發(fā)現(xiàn)四分之三的網(wǎng)站使用了第三方JavaScript工具，主要包括旅游、娛樂(lè)和休閑網(wǎng)站，這些類(lèi)型的網(wǎng)站中有99%被發(fā)現(xiàn)在使用第三方JavaScript工具。

“攻擊者能夠輕松破壞一個(gè)工具，然后就能夠有效攻擊每個(gè)網(wǎng)站，那些已經(jīng)在使用此工具的網(wǎng)站，以致所有這些網(wǎng)站成為惡意軟件傳播的平臺(tái)，”Daswani表示。

此外，該公司還發(fā)現(xiàn)出版網(wǎng)站中有三分之一在使用第三方的廣告，91%的企業(yè)使用過(guò)時(shí)的軟件來(lái)維護(hù)網(wǎng)站。

“雖然企業(yè)通常能夠很好的控制他們直接運(yùn)行網(wǎng)站部分，但他們通常對(duì)于軟件開(kāi)發(fā)生命周期過(guò)程或者他們所使用的第三方應(yīng)用程序安全問(wèn)題沒(méi)有直接的控制，”Daswani表示。

因第三方應(yīng)用程序而造成安全問(wèn)題的網(wǎng)站中就包括Facebook，該網(wǎng)站有一個(gè)大型第三方開(kāi)發(fā)人員社區(qū)，并采取了很多措施來(lái)確保應(yīng)用程序的安全。最后，Daswani表示，解決第三方應(yīng)用程序帶來(lái)的安全問(wèn)題的方法歸結(jié)來(lái)說(shuō)，就是監(jiān)測(cè)這些問(wèn)題以及對(duì)第三方內(nèi)容供應(yīng)商進(jìn)行審核。

“這是一個(gè)很大的挑戰(zhàn)，但并不是什么新挑戰(zhàn)，真正需要注意的是AJAX代碼、JavaScript、小工具和過(guò)時(shí)的CGI腳本，這些都意味著將給網(wǎng)站帶來(lái)更多漏洞和更多能夠插入惡意軟件的空間，最好的方法就是更多的使用白名單方式，”該安全分析人員表示。