这对生意不利。此次最新攻击利用了 iFrame Buster 工具包中的缺陷, DoubleClick for Publishers、DoubleClick Ad Exchange 和其他平台上的广告,允许网站所有者在 iframe 之外展示广告。
iFrame Buster 中的 HTML 代码允许 GIF、JPEG、JavaScript、HTML 和 Flash 等广告素材在其所在框架范围之外显示。例如,当用户将光标移到广告上时,横幅广告就会展开。
网站所有者服务器或读取脚本
的浏览器并不知道其中存在不该存在的恶意代码,此。问题主要在于广告开发者错误地使用了内部的破坏帧率的应用程序来编码其内容。
一位名为 Zmx 的 IDM 员工通过Full Disclosure 邮件列表条目发布了概念验证 (PoC) 。该邮件列表提供了示例代码以及其他攻击发起示例。此外,还发布了受影响供应商和广告商的列表,其中包括 Undertone、Interpolls 和 IgnitionOne (netmng.com)。技术研究员 Randy Westergreen 也提供了示例以及对最新 XSS 漏洞的解释。
防止此类攻击的唯一方法是认真测试和/或从您的网站移除所有动态互动内容。由于许多电商网站依靠访客输入来创收,因此后者最不具吸引力。因此,认真的探测和测试是您的第一道也是最后一道防线。
保护您的 广告免受攻击的策略
最新的攻击会在用户与带有横幅广告的网站互动时访问用户的cookie,但它也会将自身附加到电子邮件、URL和其他可互动、可点击的内容上 电话号码收集 。目前的问题被认为源于Web 2.0和Ajax技术,这些技术允许更隐蔽的渗透。
谷歌已针对近期发现的第三方 XSS 问题采取了行动。这家科技巨头的发言人就最初的发现发表了以下声明:“我们已禁用这些供应商,删除了这些文件,并在帮助中心添加了说明,以帮助发布商管理任何额外步骤,从而确保其用户的安全。”
那么广告创建者、网站管理员和开发人员可以做些什么来保护网站和访问者免受未来的 XSS 攻击呢?
禁用浏览器脚本
短期来看,这虽然能止血,但也会 根据相对较少 为什么你和你的公司在2024年应该依赖社交媒体 的数据销售人员打来的电话重复 损失很多网站功能。长期的解决方案包括用最佳实践替换漏洞代码,过滤用户输入,并在恶意脚本安装前将其移除。修补任何发现的缺陷和漏洞,并在部署前始终进行代码测试。
执行渗透测试
管理员可以通过此工具检查恶意代码,并确 比特币数据库美国 定移除恶意代码对网站或应用程序功能的影响。此分析应在实时代码上进行,并至少进行一小时的测试运行,以找出未经授权的脚本,然后将其移除。具体操作方法是将 Google Analytics(谷歌分析)的跟踪代码插入每个页面的 HTML 脚本中,或使用 Google Tag Manager 定位特定脚本。