影子代碼：全球企業網站的安全夢魘

企業網站中的第三方腳本和代碼，已經成為全球企業網站中普遍存在的“定時炸彈”，更糟糕的是，這一威脅往往沒有得到足夠的關注和重視。

根據Source Defense最新發布的研究報告，全球主要商業網站數字供應鏈中存在普遍的安全、隱私和合規風險。這種風險源于高度動態且不可預測的腳本和第三方代碼，滲透到企業網絡的各個領域，成為被全球企業廣泛忽視并嚴重低估的風險——影子代碼的主要感染源。

報告顯示：

平均每家企業網站檢測到15個外部生成的腳本，其中平均有12個腳本專門用于敏感頁面。金融服務是暴露最多的垂直領域，平均超過60%的第三方腳本駐留在敏感頁面上，每個頁面的腳本總數翻了一番，第四方腳本的數量增加了三倍。

影子代碼最著名的案例莫過于2018年英國航空公司數據泄露案，第三方腳本引入的一段22行代碼的JS腳本導致英國航空官網泄露了42萬旅客的個人信息和包括銀行卡號在內的財務信息，英國信息專員辦公室（ICO）隨即對英航處以1.83億英鎊的巨額罰款。

隨著疫情推動的遠程辦公常態化，以及數字化轉型的創新數字業務不斷上線，包括醫療和金融服務在內的諸多行業面臨的影子代碼風險正在快速增加。

半數企業網站存在外部代碼

報告對2022年第一季度4300個最大的垂直行業企業的網站進行了調查分析，以確定潛伏在網站數字供應鏈中的安全和合規問題。

調查發現49%的網站擁有外部代碼，能夠檢索表單輸入和“監聽”用戶按鈕點擊，超過五分之一的網站擁有能夠修改表單的外部代碼。

企業網站外部腳本占比統計

數據來源：SourceDefense

平均而言，四分之一的腳本屬于第四方代碼，每個網頁平均有五個腳本，其中至少一個是第四方腳本。敏感網頁的腳本數量要大得多，平均有12個外部腳本與從憑據到帳戶和財務詳細信息的所有內容聯系在一起。

暴露最多的兩個垂直領域是金融服務和醫療行業，平均每個網站有16個（金融）和13個（醫療）第三方腳本，以及6個和5個第四方腳本。在敏感頁面上，分析發現金融服務業平均有19個外部腳本，醫療行業則有14個外部腳本。 

危險的免費午餐

大量的第三方腳本庫可從一系列社區、組織低成本甚至免費獲取，甚至個人免費或以低成本獲得，并且非常受歡迎，因為它們使開發團隊能夠快速向應用程序添加高級功能，而無需開發和維護它們。這些第三方腳本或程序包通常還包含來自其他方的代碼（第四方代碼），這些代碼更是遠遠超出了企業的控制范圍。

更糟糕的是，他們從屬于第三方的服務器遠程操作，以提供從社交媒體連接到營銷跟蹤/分析的一切。

如果腳本被攻破，影子代碼會隨之而來并直接進入瀏覽器，而組織防御無法檢測到它。這些被攻破的腳本可以將數據泄露到遠程服務器，將用戶重定向到惡意網站，或為表單劫持、數字略讀和憑據收集攻擊奠定基礎。

報告統計了受訪企業網站各頁面（包括與PII、財務數據等相關的敏感頁面）第三方和第四方腳本的分布情況，以及主要行業的使用情況和差異。例如“影子代碼”問題的重災區酒店類網站的常見第三方腳本（廣告、分析、CDN、社交媒體、開發工具、標簽管理、營銷、托管平臺）分布如下：

雖然電商和信用卡數據泄露事件占據了最多的頭條新聞，但外部腳本對所有行業的安全和隱私都是一種普遍且不受控的風險。

對于（用戶）敏感數據，外部腳本這也是一個快速增長且極不穩定的問題。企業及其數字供應鏈合作伙伴不斷更新站點和代碼，而企業用來收集用戶數據，進行追蹤分析、標簽管理、數字廣告統計的網頁往往是黑客的重點目標。

金融、醫療和旅游行業是影子代碼的重災區 

數據來源：SourceDefense

以下是外部腳本問題最嚴重的金融行業和旅游業細分領域（股票交易和酒店）的統計數據：

金融行業的第三方代碼泛濫，而交易代理和銀行企業的第四方代碼遠遠超出平均水平。

酒店業的第三方代碼超出平均水平三倍多，這與酒店業網站存在大量的預訂和廣告追蹤交互有關。

報告鏈接：

https://info.sourcedefense.com/hubfs/Source%20Defense-Third%20Party%20Digital%20Supply%20Chain%20Risk%20Report.pdf