Bạn nghĩ WAF đã bảo vệ bạn? Nghĩ lại đi. Mùa lễ này, JavaScript không được giám sát là một thiếu sót nghiêm trọng, cho phép kẻ tấn công đánh cắp dữ liệu thanh toán trong khi WAF và hệ thống phát hiện xâm nhập của bạn không phát hiện ra điều gì. Mùa mua sắm 2025 chỉ còn vài tuần nữa, các lỗ hổng về khả năng hiển thị cần phải được khắc phục ngay bây giờ.

Nhận Sổ tay an ninh mùa lễ đầy đủ tại đây .

Dòng cuối cùng ở phía trước#

Mùa lễ hội năm 2024 chứng kiến ​​các cuộc tấn công lớn vào mã trang web: vụ tấn công Polyfill.io đã ảnh hưởng đến hơn 500.000 trang web, và vụ tấn công Cisco Magecart hồi tháng 9 nhắm vào người mua sắm dịp lễ. Các cuộc tấn công này khai thác mã của bên thứ ba và điểm yếu của các cửa hàng trực tuyến trong thời điểm mua sắm cao điểm, khi số vụ tấn công tăng vọt 690% .

Đến năm 2025: Các nhà bán lẻ trực tuyến nên thực hiện những bước bảo mật và giám sát nào ngay bây giờ để ngăn chặn các cuộc tấn công tương tự trong khi vẫn sử dụng các công cụ của bên thứ ba mà họ cần?

Khi lưu lượng mua sắm trong kỳ nghỉ lễ tăng lên, các công ty củng cố máy chủ và mạng lưới của mình, nhưng vẫn còn một điểm yếu quan trọng chưa được chú ý: môi trường trình duyệt nơi mã độc chạy ẩn trên thiết bị của người dùng, đánh cắp dữ liệu và vượt qua bảo mật tiêu chuẩn.

Khoảng cách bảo mật phía máy khách#

Nghiên cứu gần đây của ngành cho thấy mức độ đáng lo ngại của lỗ hổng bảo mật này:

Nguồn: Báo cáo Chi phí Vi phạm Dữ liệu của IBM năm 2025 | Báo cáo DBIR của Verizon năm 2025 | Báo cáo Tình trạng Phơi nhiễm Web của Reflectiz năm 2025

Những số liệu thống kê này nhấn mạnh sự thay đổi căn bản trong bối cảnh mối đe dọa. Khi các tổ chức tăng cường phòng thủ phía máy chủ thông qua WAF, hệ thống phát hiện xâm nhập và bảo vệ điểm cuối, kẻ tấn công đã thích nghi bằng cách nhắm mục tiêu vào môi trường trình duyệt, nơi các công cụ giám sát truyền thống không đáp ứng được yêu cầu do những lý do sau:

• Khả năng hiển thị hạn chế: Các công cụ giám sát phía máy chủ không thể quan sát việc thực thi JavaScript trong trình duyệt của người dùng. WAF và các giải pháp giám sát mạng bỏ sót các cuộc tấn công hoạt động hoàn toàn trong môi trường máy khách.
• Lưu lượng được mã hóa: Lưu lượng truy cập web hiện đại được mã hóa qua HTTPS, khiến các công cụ giám sát mạng khó kiểm tra nội dung truyền dữ liệu tới các miền của bên thứ ba.
• Bản chất động: Mã phía máy khách có thể thay đổi hành vi dựa trên hành động của người dùng, thời gian trong ngày hoặc các yếu tố khác, khiến cho việc phân tích tĩnh trở nên không đủ.
• Khoảng cách tuân thủ: Mặc dù các quy định như PCI DSS 4.0.1 hiện tập trung nhiều hơn vào rủi ro phía khách hàng, nhưng vẫn còn hạn chế về hướng dẫn bảo vệ dữ liệu phía khách hàng.

Hiểu về các vectơ tấn công phía máy khách#

E-skimming (Magecart)#

Có lẽ là mối đe dọa từ phía máy khách khét tiếng nhất, các cuộc tấn công Magecart liên quan đến việc chèn mã JavaScript độc hại vào các trang web thương mại điện tử để đánh cắp dữ liệu thẻ thanh toán. Vụ tấn công của British Airways năm 2018, làm lộ thông tin thanh toán của 380.000 khách hàng, là một ví dụ điển hình về cách một tập lệnh bị xâm phạm có thể vượt qua hệ thống bảo mật máy chủ mạnh mẽ. Cuộc tấn công diễn ra trong hai tuần mà không bị phát hiện, thu thập dữ liệu trực tiếp từ biểu mẫu thanh toán trước khi truyền đến các máy chủ do kẻ tấn công kiểm soát.

Sự thỏa hiệp trong chuỗi cung ứng#

Các ứng dụng web hiện đại phụ thuộc rất nhiều vào các dịch vụ của bên thứ ba, nền tảng phân tích, bộ xử lý thanh toán, tiện ích trò chuyện và mạng lưới quảng cáo. Mỗi bên đều có thể là một điểm xâm nhập tiềm năng. Vụ tấn công Ticketmaster năm 2019 xảy ra khi kẻ tấn công xâm nhập vào một công cụ trò chuyện hỗ trợ khách hàng, cho thấy chỉ một tập lệnh của bên thứ ba cũng có thể làm lộ toàn bộ nền tảng.

Shadow Scripts và Script Sprawl#

Nhiều tổ chức thiếu khả năng giám sát toàn bộ mã JavaScript đang chạy trên trang web của họ. Các tập lệnh có thể tải động các tập lệnh khác, tạo ra một mạng lưới phụ thuộc phức tạp mà đội ngũ bảo mật khó theo dõi. Hiện tượng "tập lệnh ẩn" này đồng nghĩa với việc mã trái phép có thể đang chạy mà không được phê duyệt hoặc giám sát rõ ràng.

Thao tác phiên và cookie#

Các cuộc tấn công phía máy khách có thể chặn mã thông báo xác thực, thao túng dữ liệu phiên hoặc trích xuất thông tin nhạy cảm từ cookie và bộ nhớ cục bộ. Không giống như các cuộc tấn công phía máy chủ để lại nhật ký mạng, các hoạt động này diễn ra hoàn toàn trong trình duyệt của người dùng, khiến việc phát hiện trở nên khó khăn nếu không có hệ thống giám sát chuyên biệt.

Các cuộc tấn công trong mùa lễ hội thực tế: Bài học từ năm 2024#

Mùa lễ hội năm 2024 là ví dụ điển hình cho thấy mối đe dọa từ phía khách hàng đang leo thang. Vụ tấn công chuỗi cung ứng Polyfill.io khét tiếng , bắt đầu vào tháng 2 năm 2024 và ảnh hưởng đến hơn 100.000 trang web vào dịp lễ, đã chứng minh cách một tập lệnh của bên thứ ba bị xâm phạm có thể chuyển hướng người dùng đến các trang web độc hại. Tương tự, vụ tấn công Cisco Magecart vào tháng 9 năm 2024 đã nhắm mục tiêu vào người mua sắm dịp lễ thông qua cửa hàng bán sản phẩm của họ, cho thấy ngay cả các tổ chức lớn cũng dễ bị đánh cắp dữ liệu thanh toán trong các giai đoạn cao điểm.

Bên cạnh những sự cố nghiêm trọng này, bản chất lan rộng của các mối đe dọa từ phía máy khách cũng rất rõ ràng. Trang web thương mại điện tử Shrwaa.com của Kuwait bị xâm nhập đã lưu trữ các tệp JavaScript độc hại trong suốt năm 2024, lây nhiễm sang các trang web khác mà không bị phát hiện và phơi bày vấn đề "tập lệnh ẩn". Biến thể skimmer Grelos tiếp tục minh họa việc thao túng phiên và cookie, triển khai các biểu mẫu thanh toán giả mạo trên các trang web thương mại điện tử nhỏ hơn, đáng tin cậy ngay trước Thứ Sáu Đen và Thứ Hai Điện Tử. Những sự cố này nhấn mạnh nhu cầu cấp thiết về các biện pháp bảo mật mạnh mẽ từ phía máy khách.

Mùa lễ hội làm tăng nguy cơ#

Một số yếu tố khiến thời gian mua sắm trong dịp lễ trở nên đặc biệt dễ bị tổn thương:

Động lực tấn công tăng cao: Khối lượng giao dịch cao hơn tạo ra mục tiêu béo bở, với Cyber ​​Monday 2024 chứng kiến ​​5,4 nghìn tỷ yêu cầu mỗi ngày trên mạng của Cloudflare, với 5% bị chặn vì là các cuộc tấn công tiềm ẩn.

Thời gian đóng băng mã: Nhiều tổ chức thực hiện đóng băng phát triển trong mùa cao điểm, hạn chế khả năng phản ứng nhanh với các lỗ hổng mới được phát hiện.

Phụ thuộc vào bên thứ ba: Các chương trình khuyến mãi ngày lễ thường yêu cầu tích hợp với các công cụ tiếp thị, tùy chọn thanh toán và nền tảng phân tích bổ sung, mở rộng phạm vi tấn công.

Hạn chế về nguồn lực: Các nhóm bảo mật có thể bị quá tải, khi hầu hết các tổ chức phải cắt giảm tới 50% nhân sự SOC ngoài giờ trong các ngày lễ và cuối tuần.

Triển khai bảo mật hiệu quả phía máy khách#

1. Triển khai Chính sách bảo mật nội dung (CSP)#

Bắt đầu với CSP ở chế độ chỉ báo cáo để có thể quan sát quá trình thực thi tập lệnh mà không làm hỏng chức năng:

Cách tiếp cận này cung cấp thông tin chi tiết ngay lập tức về hành vi của tập lệnh trong khi vẫn dành thời gian để tinh chỉnh chính sách.

Bẫy CSP cần tránh: Khi triển khai CSP, bạn có thể gặp phải các chức năng bị lỗi từ các tập lệnh cũ. Giải pháp nhanh chóng và hấp dẫn là thêm `'unsafe-inline'` vào chính sách của bạn, cho phép tất cả JavaScript nội tuyến được thực thi. Tuy nhiên, chỉ thị duy nhất này làm suy yếu hoàn toàn khả năng bảo vệ CSP của bạn, tương đương với việc để cửa trước nhà bạn mở khóa vì một chìa khóa không hoạt động. Thay vào đó, hãy sử dụng nonce (mã thông báo mật mã) cho các tập lệnh nội tuyến hợp lệ: `<script nonce="random-token-here">`. Tạo một nonce mới cho mỗi lần tải trang và tham chiếu nó trong tiêu đề CSP của bạn: ``script-src 'nonce-random-token-here'`. Điều này cho phép các tập lệnh đã được phê duyệt của bạn hoạt động trong khi chặn mã độc hại được chèn vào. Đúng, nó yêu cầu các thay đổi ở phía máy chủ, nhưng đó là sự khác biệt giữa khả năng bảo vệ thực sự và một chính sách chỉ tồn tại trên giấy tờ.

2. Triển khai tính toàn vẹn tài nguyên phụ (SRI)#

Đảm bảo rằng các tập lệnh của bên thứ ba không bị can thiệp bằng cách triển khai thẻ SRI:

3. Thực hiện kiểm tra kịch bản thường xuyên#

Duy trì một bản kiểm kê toàn diện tất cả các tập lệnh của bên thứ ba, bao gồm:

• Mục đích và lý do kinh doanh
• Quyền truy cập dữ liệu
• Quy trình cập nhật và vá lỗi
• Thực hành bảo mật của nhà cung cấp
• Các giải pháp thay thế nếu dịch vụ bị xâm phạm

4. Triển khai giám sát phía máy khách#

Triển khai các công cụ giám sát chuyên biệt phía máy khách, từ trình xác thực CSP dựa trên trình duyệt đến các giải pháp quản lý Web Exposure cho đến các giải pháp Runtime Application Self-Protection (RASP) thương mại, có thể quan sát quá trình thực thi JavaScript theo thời gian thực, phát hiện:

• Thu thập hoặc truyền dữ liệu bất ngờ
• Các nỗ lực thao túng DOM
• Các tập lệnh mới hoặc đã sửa đổi
• Yêu cầu mạng đáng ngờ

5. Thiết lập Quy trình Ứng phó Sự cố#

Xây dựng các hướng dẫn cụ thể cho các sự cố phía khách hàng, bao gồm:

• Quy trình cô lập và loại bỏ tập lệnh
• Mẫu giao tiếp với khách hàng
• Thông tin liên hệ nhà cung cấp và đường dẫn leo thang
• Yêu cầu thông báo theo quy định

Thách thức và giải pháp triển khai#

Mặc dù lợi ích của bảo mật phía máy khách rất rõ ràng, việc triển khai có thể gặp phải một số trở ngại. Sau đây là cách giải quyết những thách thức thường gặp:

Khả năng tương thích của hệ thống cũ#

• Triển khai CSP dần dần, bắt đầu với các trang có rủi ro cao nhất
• Sử dụng báo cáo CSP để xác định các tập lệnh có vấn đề trước khi thực thi
• Hãy cân nhắc triển khai proxy ngược để đưa các tiêu đề bảo mật vào mà không cần thay đổi ứng dụng

Tác động đến hiệu suất#

• Kiểm tra kỹ lưỡng bằng chế độ chỉ báo cáo ban đầu
• Giám sát việc kiểm tra SRI để đảm bảo chi phí bổ sung tối thiểu (thường dưới 5ms cho mỗi tập lệnh)
• Theo dõi số liệu người dùng thực tế như thời gian tải trang trong quá trình triển khai

Sự phản kháng của nhà cung cấp#

• Bao gồm các yêu cầu bảo mật trong hợp đồng nhà cung cấp ngay từ đầu
• Yêu cầu về khung như bảo vệ danh tiếng của cả hai bên
• Duy trì chế độ bảo mật theo dõi sổ đăng ký rủi ro của nhà cung cấp
• Ghi lại các nhà cung cấp không hợp tác là những bên phụ thuộc có rủi ro cao nhất

Hạn chế về tài nguyên#

• Hãy xem xét các dịch vụ bảo mật được quản lý chuyên về bảo vệ phía khách hàng
• Bắt đầu với các công cụ miễn phí dựa trên trình duyệt và trình phân tích báo cáo CSP
• Ưu tiên tự động hóa cho việc kiểm kê tập lệnh, giám sát và cảnh báo
• Dành 6-12 giờ mỗi tháng cho việc thiết lập ban đầu và giám sát liên tục hoặc dành 1-2 ngày mỗi quý để kiểm tra toàn diện trong môi trường doanh nghiệp với hơn 50 tập lệnh của bên thứ ba

Sự ủng hộ của tổ chức#

• Xây dựng trường hợp kinh doanh xung quanh chi phí vi phạm (trung bình mỗi cuộc tấn công Magecart: 3,9 triệu đô la) so với khoản đầu tư giám sát (10.000-50.000 đô la mỗi năm)
• Các tổ chức có hệ thống giám sát phía khách hàng chuyên dụng phát hiện vi phạm nhanh hơn 5,3 tháng so với mức trung bình của ngành (giảm thời gian phát hiện từ 7,5 tháng xuống còn 2,2 tháng), hạn chế đáng kể việc lộ dữ liệu và các hình phạt theo quy định
• Trình bày bảo mật phía khách hàng như một biện pháp bảo vệ doanh thu, không phải là chi phí CNTT
• Đảm bảo sự tài trợ của ban điều hành trước thời gian đóng băng kỳ nghỉ lễ
• Nhấn mạnh rằng việc phòng ngừa ít gây gián đoạn hơn so với việc ứng phó với vi phạm đang diễn ra trong mùa cao điểm

Nhìn về phía trước#

Bảo mật phía máy khách đại diện cho một sự thay đổi cơ bản trong cách chúng ta tiếp cận bảo vệ ứng dụng web. Khi bề mặt tấn công tiếp tục phát triển, các tổ chức phải điều chỉnh chiến lược bảo mật của mình để bao gồm giám sát và bảo vệ toàn diện môi trường máy khách.

Mùa mua sắm dịp lễ mang đến cả tính cấp bách và cơ hội: tính cấp bách để giải quyết những lỗ hổng này trước khi lưu lượng truy cập đạt đỉnh và cơ hội để triển khai giám sát nhằm cung cấp thông tin chi tiết có giá trị về hành vi tập lệnh bình thường so với hành vi đáng ngờ.

Thành công đòi hỏi phải vượt ra khỏi mô hình bảo mật truyền thống tập trung vào phạm vi bảo mật để áp dụng một phương pháp toàn diện hơn, bảo vệ dữ liệu ở mọi nơi, kể cả trong trình duyệt của người dùng. Các tổ chức thực hiện quá trình chuyển đổi này sẽ không chỉ bảo vệ khách hàng trong mùa cao điểm lễ hội mà còn thiết lập một thế trận bảo mật vững chắc hơn cho năm tới.

Tải xuống Sổ tay bảo mật mùa lễ đầy đủ để đảm bảo tổ chức của bạn đã sẵn sàng cho mùa mua sắm năm 2025.