2017 年底,谷歌 发出警告 向 DoubleClick 平台用户报告一个设计缺陷,该缺陷使他们的网站容易受到来自第三方供应商的跨站点脚本 (XSS) 攻击。
这不是 Google Ads 第一次出现问题,但这些问题通常来自管理员方面。 这是一个设计缺陷,通过在会话中劫持脚本来降低用户体验。
跨站点脚本问题并不新鲜。 它们甚至不是今年最大的数字营销故事。 这种类型的漏洞自 1990 年代以来一直存在。 然而,最近,黑客已经找到了更新、更狡猾的方法来利用它——而且不是很小的方式。
- Facebook 花费了 2018 年的大部分时间 与各种 XSS 攻击和不良宣传作斗争,因为它试图为数百万处于危险中的用户保护其平台。
- 在 2018 年下半年,一些世界上最大的平台(包括 Reddit、亚马逊音乐、Tinder、Pinterest)冒着损害惊人的 6.85 亿账户的风险,因为 第三方 XSS 漏洞.
问题发生在“iframe busters”——域服务器上的 HTML 文件,它确定访问者如何参与展示广告,有效地允许广告看起来比封装的 iframe 更大。
现在,网络攻击者找到了一种向破坏者添加任意代码的方法,使网站和访问者容易被渗透。 在消费者对网络安全的信心已经很低并且数据完整性问题成为头版新闻的时候,这会破坏访问者的信任。
在本文中,我们将了解 XSS 攻击,并概述广告商自己和合作伙伴(出版商和供应商)避开攻击的方法。
什么是 XSS 攻击?
跨站点脚本有一个内置缺陷,通过将恶意代码插入嵌入脚本中,使动态 Web 内容容易受到操纵。 它通常会影响用于驱动广告的 Javascript 代码,但它可以注入到任何类型的活动代码中,例如 ActiveX、Flash 或 VBScript。
利用编码中的这一弱点通过重定向或误导网站访问者、访问 cookie 或安装恶意软件来造成严重破坏。 它可以劫持用户的整个会话并将他们发送到另一个网站。 网站越大,交互性越强,黑客探查弱点的插入点就越多。
这是系统缺陷和 XSS 攻击如此难以检测和预防的部分原因。 编码插入客户端,依赖于用户生成的启动操作。
有意义的渗透测试依赖于预测用户和应用程序之间的每一个可能的交互才能有效,它必须能够检测到每一个可能的接入点。
谁受到最新一轮 XSS 攻击的影响?
货币化是电子商务网站、博主、视频博主等在线创收的主要方式之一。 尽管广告很烦人,但它们是在线企业主的生命之血。 2018年,近25%的企业公司 花费了 50% 或更多的营销预算 关于重定向广告。
展示广告还允许网站所有者为访问者提供价值,同时为用户提供真正免费的免费互联网。 当今的电子商务环境就是提供优质的用户体验 (UX)。 谷歌算法甚至会奖励你在 SERP 上的排名更高。
具有讽刺意味的是,这个漏洞正在通过谷歌鼓励网站所有者使用的货币化界面影响他们的用户群。 它不影响静态内容,但 任何使用需要用户响应才能启动操作的动态 Web 内容的应用程序或网站在技术上都容易受到 XSS 攻击。
这意味着游戏、使用可点击广告的网站以及拥有大量用户生成内容的电子商务网站(如 eBay)可能会被劫持。 此漏洞会影响平台、广告商、网站所有者及其流量。
特别是在广告方面,这个行业的整个供应链发现自己在沿途的每一步都受到 XSS 供应商的威胁。 以下是受影响参与者的快速列表以及受影响的方式:
1. 出版商 发现他们的网站被黑了。
2. 谷歌 他们的网络因不良行为者(不良广告商)而受到损害。
3. 供应商 获得较低质量的流量,因为广告更具侵略性。
4. 广告商 遵守规则的好人是否受到了不当影响。
如果不立即解决和纠正此类攻击,也会破坏消费者的信任和信心。
黑客如何利用脚本漏洞
攻击者通过找到插入替代指令的弱点来探测 Javascript 或 Flash 编码。
每当使用该应用程序时,恶意代码都会激活,并且会执行黑客想要的任何结果。 最常见的插入点是 Web 表单、搜索字段、论坛和 cookie。
此外,即使访问者使用虚拟专用网络或 VPN 加密他或她的流量,XSS 攻击也“有效”。 VPN是 有效保持匿名,但只要您的访问者点击受感染的第三方广告、执行搜索或以其他方式遇到脚本,XSS 攻击就会渗透。 整个会话都可以被劫持,代码甚至可以启用对用户帐户的访问。
这对生意不利。
这次最新的攻击攻击了 iFrame Buster 工具包中的缺陷,这些工具包用于在 DFP、DoubleClick Ad Exchange 和其他允许网站所有者在 iframe 之外展示广告的平台上展开广告。
iFrame Buster 中的 HTML 代码允许 GIF、JPEG、JavaScript、HTML 和 Flash 等广告素材在包含它的框架范围之外显示。 一个示例是当用户将光标移到广告上时展开的横幅。
阅读脚本的网站所有者、服务器或浏览器不知道存在不属于的恶意代码,托管平台或用户也不知道。 问题主要是由于广告开发人员使用内部框架破坏应用程序错误地对其内容进行编码。
概念证明 (PoC) 通过 完全披露邮件列表 使用名称 Zmx 的 IDM 员工的条目。 它提供了示例代码和其他如何发起攻击的示例。 还发布了一份受影响的供应商和广告商列表,其中包括 Undertone、Interpolls 和 IgnitionOne (netmng.com)。 技术研究员 Randy Westergreen 也提供了 样本和解释 最新的 XSS 问题。
防止此类攻击的唯一方法是通过勤勉的测试和/或从您的网站中删除任何动态的交互式内容。 由于许多电子商务网站依赖访问者的输入来产生收入,因此后一种选择最不吸引人。 这使得勤奋的探索和测试成为你的第一道和最后一道防线。
保护您的 DoubleClick 广告免受 XSS 攻击的策略
最新的攻击会在用户与带有横幅广告的网站交互时访问用户的 cookie,但它也可以将自身附加到电子邮件、URL 和其他交互式可点击内容。 当前的问题被认为源于允许更隐蔽渗透的 Web 2.0 和 Ajax 技术。
谷歌已经对他们最近的第三方 XSS 问题采取了行动。 这家科技巨头的一位发言人针对最初的发现发表了这一声明:“我们已经禁用了这些供应商,删除了这些文件,并在我们的帮助中心添加了说明,以帮助出版商管理任何额外的步骤,以帮助确保他们的用户安全。”
那么广告创作者、网站管理员和开发者可以做些什么来保护网站和访问者在未来免受 XSS 攻击呢?
禁用浏览器脚本
从短期来看,这可以止血,但也会消除很多网站功能。 长期修复将包括用过滤用户输入并在安装之前删除恶意脚本的最佳实践替换有缺陷的代码。 修补发现的任何现有缺陷和漏洞,并在部署前始终测试代码。
执行渗透测试
这允许管理员检查恶意代码并确定删除它对网站或应用程序功能的影响。 此分析应在实时代码上执行,并使用至少一小时的测试运行,以根除未经授权的脚本,以便将其删除。 这可以通过 从 Google Analytics 插入跟踪代码 进入每个页面的 HTML 脚本,或使用 Google 跟踪代码管理器定位特定脚本。
使用严格的白名单策略
以及与利用该漏洞的广告商(或网络)合作的供应商。 根据 Westergren 的说法,他发现的大多数 XSS 漏洞都是由于白名单实施不当造成的。 换句话说,发布者未能限制某些应被授予执行脚本访问权限的域。
他接着概述了一些使用限制较弱的 iFrame Buster 的高流量网站,从而允许攻击者破坏该域,包括 Jivox 和 Adtech。 DoubleClick 广告商应关注有关 XSS 和其他广告利用的 Google 更新,注意受影响的域,并有选择地将它们从您的广告活动中删除。 幸运的是,控制您的广告出现在哪些发布商上的能力是 内置在 DoubleClick 中.
根据 Google 的知识库,排除域会阻止您的广告出现在该域内或域内的任何页面上。 因此,为避免在受 XSS 攻击的域上投放广告,请定期审核并更新 DoubleClick 中的“黑名单”,这样您就清楚了。
底线
在平台能够完全预测并阻止 XSS 攻击之前,黑客将继续利用用于引导动态内容的脚本中固有的漏洞。
是时候为整个行业范围内的问题提供解决方案了,这个问题几乎在电子商务存在的时候就一直困扰着网站所有者。 但现在,请确保您遵循这些策略来保护您自己的 DoubleClick 广告免受这些攻击。
关于作者
Dan Fries 是一名自由作家和全栈 Rust 开发人员。 他寻求技术趋势的融合,特别关注网络安全和云基础设施即服务 (IaaS) 应用程序。 Dan 喜欢单板滑雪,并带着他的宠物小猎犬 Teddy 在香港工作。
