客户端攻击持续增加
保护客户安全的新要求
由于第三方组件和/或脚本在开发过程中的灵活性,已有越来越多企业使用此类第三方组件和/或脚本构建面向公众的应用。与此同时,我们发现,针对这些应用用户的攻击数量也在不断增加。
究其原因,随着时间的推移,一些 Web 应用代码现在会在用户的浏览器中加载,而不是在服务器端加载。由于这种转变,如今用户会暴露给第三方组件,而使用这些组件的企业无法直接控制其安全措施。第三方脚本、应用所有者和用户之间的这种关系被攻击者加以利用,用于对用户的设备发起供应链攻击。
在本文中,我们将探讨这些新漏洞,以及企业如何化解这些漏洞来保护用户安全。
新的 PCI 合规要求
自 2018 年左右开始,几次针对客户端应用的备受瞩目的攻击事件,给企业造成了重大损失。其中最著名的案例是针对英国航空客户的攻击,在这次事件中,攻击者不仅泄露了支付卡详细信息,而且还泄露了 500,000 名客户的姓名和地址。攻击者通过使用 JavaScript 脚本进行入侵,从而窃取了信息。
处理客户支付的企业必须遵守支付卡行业数据安全标准 (PCI DSS) 合规要求,这些要求旨在保护和保障支付卡账户数据的安全。
就像英国航空公司的案例一样,攻击者通常是在网站所有者不知情的情况下发起此类攻击。为了解决这个问题,最新版本的 PCI DSS 合规报告承认,企业必须采取主动防护措施来应对新出现的客户端攻击威胁,以防止支付卡持有人的卡信息被盗。与先前版本的 PCI 相比,PCI 数据安全标准 (DSS) 4.0 推行了许多新要求,所有接受银行卡支付方式的商家都必须满足这些要求。我们今天将重点介绍两项与客户端安全相关的新要求。
这两项新要求,即 6.4.3 和 11.6.1 ,概述如下:
要求 6.4.3:要求商家跟踪并妥善盘点支付页面上使用的脚本(例如 JavaScript),提供理由来说明为什么需要这些脚本,以及脚本代码是否按预期运行。
为了满足要求 6.4.3,可以部署内容安全策略 (CSP) 标头。CSP 是一种积极安全模型,可以定义为允许选定的 JavaScript 脚本在支付页面上运行,并默认拒绝任何未明确允许运行的 JavaScript。持续运行的页面监测器可以帮助生成 CSP 标头,并持续检查这些脚本内容是否存在恶意威胁。要求 11.6.1:提醒网站所有者注意上述支付页面上使用的脚本(例如 JavaScript)以及用于保护这些脚本的 HTTP 标头(例如 CSP 标头)的更改。反向代理或 CDN 提供商可以检测所做更改并相应地通知网站所有者,具体取决于 CSP 标头的部署方式。组合运用这些解决方案有助于满足要求 11.6.1。
通过满足这两项要求,网站所有者可以保护其用户的支付卡账户数据免遭威胁行为者的窃�取,从而维持用户信任并降低风险。
第三方 JavaScript 依赖项之外的风险
第三方 JavaScript 依赖项,或称为供应链攻击,并不是唯一的客户端攻击手段。一些第三方依赖项还可以调用其依赖项,有时也称为第四方依赖项,这些依赖项也可能会受到攻击。
在过去的几年里,业界已采取措施尽可能地防范供应链攻击,而且与 5 年前相比,人们对供应链风险的认识普遍提高。但是,也存在一些关注度较低的其他客户端风险,导致攻击面扩大。
其中一种风险位于用户的环境、使用的浏览器,以及运行浏览器的操作系统。当用户访问网站时,浏览器扩展或任何其他软件可能会直接向网站注入 JavaScript,从而更改网页。虽然并非所有此类注入的 JavaScript 都是恶意脚本,但其影响范围广泛,例如广告注入、可能窃取敏感信息。
另一个示例是 Cross-site scripting (XSS),它是指恶意行为者将代码注入合法网站并在受害者加载网站时执行这些代码。从保护客户端的角度来看,成功的代码注入可能看起来像是直接由第一方或网站本身提供的 JavaScript,此类 JavaScript 在默��认情况下会获得信任。
这并不是一份详尽的清单。为了实现全面的保护,客户端安全解决方案应该能够平等地监测所有脚本,无论其来源是什么,从而帮助网站所有者做出明智的决策。
保护客户端环境
如果是接受卡支付方式的商家,则必须在 2025 年 3 月 31 日之前实施安全方法,确保客户端环境符合 PCI DSS v4.0 的要求。Cloudflare Page Shield 客户端安全解决方案,有助于企业轻松满足这些新要求和未来的要求。
除了保护支付页面之外,Cloudflare Page Shield 还会持续监测企业的整个网站,按照内部构建和接受过训练的机器学习模型来检查每个脚本,该模型专门用于对 Magecart 攻击进行分类,无论用户身处何地、以什么方式与网站互动,都能保护其安全。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
深入探讨这个话题
阅读《维持 PCI DSS 4.0 合规的战略性方法》白皮书,进一步了解如何有策略性地满足所有 PCI 要求。
关键要点
阅读本文后,您将能够了解:
针对客户端环境的主要攻击手段
2 项新的 PCI 合规要求
如何保护客户端环境和客户安全