Používáte na svém webu pluginy nebo skripty třetích stran?

Pak můžete mít problém, a je celkem jedno, zda se jedná o open source nebo closed source.

Podstatné je, že daný software může obsahovat nějakou zranitelnost, které může být zneužito. A čím používanější daný plugin je, tím vyšší je riziko, že se někdo pokusí dané zranitelnosti zneužít.

Problém nastává i v okamžiku, kdy na svých webových stránkách voláte obyčejný JavaScript, a může to být třeba i Google Analytics, který se nachází na serveru Google. V takovém případě jste vystaveni riziku, že dojde k napadení serveru třetí strany a k pozměnění daného skriptu, který pak bude na pozadí vykonávat i jinou činnost.

Nemusí však dojít jen k napadení serveru třetí strany, nýbrž toho vašeho a k modifikaci stávajících skriptů. Pak vás neochrání ani Content Security Policy, zkr. CSP, protože útočník zneužije skriptů, kterým věříte, a které jste povolili.

Útočníkovi stačí, když se u společnosti, kde běží služba zpracovávající parametry předávané daným skriptem, rovněž zaregistruje a stane se též klientem. Tím se mimochodem opět dotýkáme rizik spojených se sdílenými službami a cloudy.

Následně skript na vašem serveru zmodifikuje tak, aby komunikoval s jeho účtem. Tím, že se účet útočníka nachází na stejné doméně jako ten váš, je CSP v tomto případě naprosto neúčinná, protože komunikaci na danou doménu jste povolili.

Je samozřejmě otázka, zda by pro útočníka nebylo stejně tak jednoduché, jako změna skriptu i změna CSP, ale předpokládejme, že CSP je řešeno jinou komponentou, kterou se útočníkovi nepodařilo kompromitovat.

Dalším rizikem je přesměrování volání na jiný server, a stažení skriptu útočníka, který může dělat v zásadě cokoliv, neboť běží jako součást stránky a může být zneužit i k šíření dalšího škodlivého kódu.

Zatímco první vektor útoku nelze dost dobře eliminovat, protože v okamžiku, kdy někdo napadne server třetí strany anebo ten váš a skript pozmění, tak vy nejspíš tuto změnu nebudete schopni detekovat, tak ve druhém případě se zdá, že by mohlo stačit skript volat přes HTTPS.

Samozřejmě, že ani tento způsob neposkytuje záruku, protože útočník může svůj web snadno opatřit nějakým tím certifikátem a následně modifikovat DNS tak, abyste skončili na jeho serveru. Což není v případě cíleného útoku až takový problém a je několik způsobů jako tohoto dosáhnout. Doporučenou ochranou proto je umístit kód třetí strany do iframu s atributem sandbox.

Dalším problémem pak může být expirace a revokace certifikátů, kterými jsou weby třetích stran opatřeny. Jde o to, že mnohá antimalwarová řešení obsahují jakýsi webový štít, jenž provádí analýzu webových stránek, na které právě přistupujete.

Kromě kontroly certifikátu samotného webu provádí i kontrolu certifikátů všech serverů, z kterých se obsah tvořící danou stránku stahuje. Ve výsledku tak může být vaše stránka označena antimalware řešením za nedůvěryhodnou, anebo může být za nedůvěryhodnou považována vašim klientem.

V každém případě byste měli evidovat seznam všech skriptů, které na webu používáte a to včetně jejich účelu a možnosti jejich okamžité deaktivace v případě nutnosti.

Dobrá, říkáte si, tak budeme provádět i kontrolu skriptů třetích stran a vše bude v pohodě. To bohužel není tak docela pravda, pokud ony skripty nebo pluginy třetích stran volají dost často další skripty, a v nich může být rovněž problém.

Prakticky jediným řešením by pak bylo skripty a pluginy třetích stran vůbec nepoužívat anebo alespoň co nejvíce jejich používání omezit, což v praxi může být problém, protože by to znemožňovalo použít již hotové řešení a zvyšovalo by to náklady na vývoj. Narážíme zde opět na klasický problém bezpečnost – náklady – použitelnost.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

  1. Miroslav Čermák

    A tady je konkrétní případ: https://securelist.com/web-skimming-with-google-analytics/97414/


K článku “Používáte na svém webu pluginy nebo skripty třetích stran?” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: