GTM账户安全

        今天跟大家分享下我之前看一个案例,比如2018年发生了两起备受瞩目的数据泄露事件—— Ticketmaster 和英国航空公司(British Airways)数据泄露,即超过50万张信用卡信息被盗,原因是支付页面上被黑客插入了一个泄露客户信息的脚本。

  谷歌标签管理器(GTM)固然是一个强大的工具,它可以让你插入任何脚本到你的网站页面上,但是呢树大招风,强大的东西往往更吸引那些黑客,gtm也不例外,也会遇到被黑,如果你不小心,不注意就会中枪。下面我们将看看如何阻止 GTM 成为一个黑客靶子,当然这些仅仅体现在支付这块,多用于实际支付行业-体现在你网站的支付页面上。

【seo安全篇】如何防止谷歌标签管理器(gtm)被黑客攻击

  首先,我们得大致了解下黑客是如何从这些网站上获取信用卡详细信息的?它与你网站上的 GTM 有什么关系?

  国际知名安全公司 RiskIQ 声称已经追踪到了一个泄露信息的 Javascript 文件,该文件从支付表单中浏览了信用卡的详细信息。因此,当用户在 BritishAirways.com (或者他们的移动应用程序)上输入信用卡号码和安全码时,这些详细信息就会被发布到第三方服务器上,而英国航空公司或客户对此一无所知。这就相当于在 ATM 机上放置一个摄像装置,每次不停的读取一张卡的信息。

  在 Ticketmaster 的黑客行为案例中,脚本是从一个叫(chatbot)的机器人供应商在他们的网站 Inbenta 上加载的。但是 Inbenta 声称甚至不知道这个脚本被用于支付页面。当然黑客对脚本的修改很微妙,很细小,甚至没有破坏任何功能,而且在英航的案例中,也使用了一个看起来有点真实的域名”baway.com”,所以黑客在伪装上做的很出色。

  所以我举这两个案例的意思是什么呢?那就是gtm是可以把脚本插入到支付页面的,那么既然可以,实际上你每天都是面临着黑客的攻击的,越是知名网站,越是如此,而且是那种悄无声息。当然了,也不仅仅是谷歌的gtm,像国内很多类似的工具都是如此,所谓凡事都有利弊,你既然是很方便,那么另一面就是风险。所以为了保护你的网站免受类似的攻击,你显然需要保护好用来修改页面源代码中的脚本的帐户,此处说的就是保护 GTM 账户免受攻击盗号。

  那么如何尽量去避免,增加安全性呢?

  一、避免在 GTM 中加载外部 JavaScript 文件

  许多供应商希望你从他们的服务器(例如 myvendor.com /tracking.js)从 GTM 加载一个文件,这样他们就可以随时更新跟踪代码了。这对他们来说可能是灵活的,但对你来说就有风险了。如果供应商遭到黑客攻击(例如上面的 Inbenta) ,那么你就受到了威胁。所以直接将该脚本嵌入到 GTM 中并从那里控制版本中更改,风险可能会较小(尽管牺牲一点加载页面的速度)。

  二、锁定 GTM 上的编辑和发布权限,并时刻关注账户的修改动态

  你的公司组织可能有一个高流动率的工作人员以及有合同关系的网站开发商,机构,所以你最好时刻检查下账户权限,每当人员离职或者解除合同的时候。在实际业务中,有很多公司是没有能力来招聘专业人员的,所以一般都是委托第三方,比如添加代码,撰写代码,发布代码等操作,在 GTM 中,让外部人员使用”工作空间”来进行版本控制是可以的,但是最好是由对你的公司负有直接责任的人(开发者或者SEO专业人员)来检查和发布。

  国内市场上有成千上万的营销工具,你的公司可能已经尝试了一些。当你停止使用供应商时,又是否删除或者修改了他们的之前所有发过的标签呢?大家试想下,往往解除合同时,供应商都是心有不快的,他们完全可以做些小操作,让你重创,这个可能性是有的,这些公司网站最有可能被黑客入侵。所以该把安全性提高的操作,都是要做的,对自己也是一种保护。

  三、在支付页面上自定义 JavaScript 上添加黑名单

  你可以从页面数据层设置一个黑名单,或者白名单,只允许几个ip来添加,以防止在支付页面上部署某些类型的恶意标记。如果你有一个或有许多用户的 GTM 容器,这可能比步骤2可能更实用。

  最后就是SEO操作人员或者网站运营人员在发布代码时候,一定要经过技术开发人员的审核,不要天真的以为自己在网上复制粘贴的代码,就是安全的,往往就是这些代码漏洞百出,会被注入恶意代码,审核这一关很重要!

      版权声明:

      ISEOER的所有文字、图片和音视频资料,版权均属本站所有,任何媒体、网站或个人未经本网协议授权不得复制、转载、链接、转贴或以其他方式复制发布/发表。

    版权声明:

     本网站的所有文字、图片资料,【未注明转载的】均由作者亲自整理创作,任何媒体、网站或个人未经本人同意和授权不得复制、转载、转贴或以其他方式复制发布/发表,请尊重我的劳动成果,侵权必究,谢谢。

阿沐
1625139774@qq.com

发表评论

电子邮件地址不会被公开。 必填项已用*标注