DoubleClick विज्ञापनदाताओं को क्या पता होना चाहिए

DoubleClick विज्ञापनदाताओं को क्या पता होना चाहिए

2017 के अंत में, Google ने DoubleClick प्लेटफ़ॉर्म उपयोगकर्ताओं के लिए एक डिज़ाइन दोष के बारे में चेतावनी जारी की, जो उनकी वेबसाइटों को तृतीय-पक्ष विक्रेताओं से क्रॉस-साइट स्क्रिप्टिंग (XSS) हमलों के लिए असुरक्षित बना देता है।

xxs हमले की स्क्रिप्ट

यह पहली बार नहीं था जब Google Ads को समस्या हुई हो, लेकिन वे आमतौर पर व्यवस्थापक की ओर से हमारे पास आ रहे हैं। यह एक डिज़ाइन दोष है जो सत्र के मध्य में स्क्रिप्ट को हाईजैक करके UX को नीचा दिखाता है।

क्रॉस-साइट स्क्रिप्टिंग समस्याएँ नई नहीं हैं। वे साल की सबसे बड़ी डिजिटल मार्केटिंग कहानी भी नहीं हैं; इस प्रकार की भेद्यता 1990 के दशक के आसपास रही है। हाल ही में, हालांकि, हैकर्स ने इसका फायदा उठाने के नए और डरपोक तरीके खोजे हैं – और छोटे तरीके से नहीं।

  • Facebook ने 2018 का अधिकांश समय XSS के विभिन्न कारनामों और खराब प्रचार से जूझने में बिताया क्योंकि इसने लाखों उपयोगकर्ताओं को जोखिम में डालने के लिए अपने प्लेटफ़ॉर्म को सुरक्षित करने का प्रयास किया।
  • 2018 के उत्तरार्ध में, दुनिया के कुछ सबसे बड़े प्लेटफार्मों (Reddit, Amazon Music, Tinder, Pinterest सहित) में से कुछ ने तीसरे पक्ष के XSS भेद्यता के परिणामस्वरूप 685 मिलियन खातों के साथ समझौता करने का जोखिम उठाया।

समस्या “आईफ्रेम बस्टर्स” के साथ होती है – एक डोमेन सर्वर पर एचटीएमएल फाइलें जो निर्धारित करती हैं कि एक विज़िटर द्वारा प्रदर्शन विज्ञापन कैसे जुड़ा हुआ है, प्रभावी रूप से विज्ञापनों को उनके एनकैप्सुलेटिंग आईफ्रेम से बड़ा प्रदर्शित करने की अनुमति देता है।

अब, साइबर हमलावरों ने वेबसाइटों और आगंतुकों को घुसपैठ के लिए खुला छोड़ते हुए, बस्टरों में मनमाना कोड जोड़ने का एक तरीका खोज लिया है। यह ऐसे समय में आगंतुकों के भरोसे को कम करता है जब साइबर सुरक्षा में उपभोक्ता का विश्वास पहले से ही कम है और डेटा अखंडता के मुद्दे फ्रंट-पेज समाचार हैं।

इस लेख में, हम XSS हमलों पर एक नज़र डालेंगे और उन तरीकों की रूपरेखा तैयार करेंगे जिनसे विज्ञापनदाता स्वयं और अपने भागीदारों – प्रकाशकों और विक्रेताओं के लिए हमलों से दूर रह सकते हैं।

XSS हमला क्या है?

क्रॉस-साइट स्क्रिप्टिंग में एक अंतर्निहित दोष है जो गतिशील वेब सामग्री को एम्बेडेड स्क्रिप्ट में दुर्भावनापूर्ण कोड डालकर हेरफेर करने के लिए खुला छोड़ देता है। यह आमतौर पर जावास्क्रिप्ट कोड को प्रभावित करता है जिसका उपयोग विज्ञापनों को शक्ति प्रदान करने के लिए किया जाता है, लेकिन इसे ActiveX, Flash, या VBScript जैसे किसी भी प्रकार के सक्रिय कोड में इंजेक्ट किया जा सकता है।

xxs हमले का नक्शा

कोडिंग में इस कमजोरी का फायदा उठाने से वेबसाइट विज़िटर को रीडायरेक्ट करने या गलत तरीके से निर्देशित करने, कुकीज तक पहुंचने या मैलवेयर इंस्टॉल करने से कहर बरपाता है। यह उपयोगकर्ता के पूरे सत्र को हाईजैक कर सकता है और उन्हें दूसरी वेबसाइट पर भेज सकता है। एक वेबसाइट जितनी बड़ी और अधिक इंटरैक्टिव होती है, हैकर्स के लिए कमजोरियों की जांच करने के लिए उतने ही अधिक सम्मिलन बिंदु होते हैं।

यह इस कारण का हिस्सा है कि व्यवस्थित खामियों और XSS हमलों का पता लगाना और उन्हें रोकना इतना मुश्किल है। दीक्षा के लिए उपयोगकर्ता-जनित क्रियाओं पर निर्भर करते हुए, ग्राहक की ओर से कोडिंग डाली जाती है।

सार्थक पैठ परीक्षण प्रभावी होने के लिए उपयोगकर्ता और एप्लिकेशन के बीच हर संभव बातचीत की आशंका पर निर्भर करता है, और इसे हर संभव पहुंच बिंदु का पता लगाने में सक्षम होना चाहिए।

XSS हमलों के नवीनतम दौर से कौन प्रभावित है?

मुद्रीकरण ई-कॉमर्स साइटों, ब्लॉगर्स, व्लॉगर्स और अन्य लोगों द्वारा ऑनलाइन राजस्व उत्पन्न करने के प्रमुख तरीकों में से एक है। विज्ञापन जितने कष्टप्रद हो सकते हैं, वे ऑनलाइन व्यापार स्वामियों के जीवन का रक्त हैं। 2018 में, लगभग 25% एंटरप्राइज़ कंपनियों ने अपने मार्केटिंग बजट का 50% या उससे अधिक हिस्सा रीटार्गेटिंग विज्ञापनों पर खर्च किया।

प्रदर्शन विज्ञापन वेबसाइट के मालिकों को अपने आगंतुकों को मूल्य प्रदान करने की अनुमति देते हैं जबकि उपयोगकर्ताओं के लिए वास्तव में मुफ़्त इंटरनेट रखते हैं। आज का ईकॉमर्स वातावरण एक गुणवत्तापूर्ण उपयोगकर्ता अनुभव (UX) प्रदान करने के बारे में है। Google एल्गोरिदम आपको इसके लिए SERPs पर उच्च प्लेसमेंट के साथ पुरस्कृत भी करेगा।

xxs अटैक ग्राफिक

यह विडंबना है कि यह दोष एक मुद्रीकरण इंटरफ़ेस के माध्यम से उनके उपयोगकर्ता आधार को प्रभावित कर रहा है जिसे Google वेबसाइट स्वामियों को उपयोग करने के लिए प्रोत्साहित करता है। यह स्थिर सामग्री को प्रभावित नहीं करता है लेकिन डायनेमिक वेब सामग्री का उपयोग करने वाला कोई भी ऐप या वेबसाइट जिसके लिए कार्रवाई शुरू करने के लिए उपयोगकर्ता की प्रतिक्रिया की आवश्यकता होती है, तकनीकी रूप से XSS हमले के लिए असुरक्षित है।

इसका मतलब है कि गेम, वेबसाइटें जो क्लिक करने योग्य विज्ञापनों का उपयोग करती हैं, और ईकॉमर्स वेबसाइटें जिनमें ईबे जैसी उपयोगकर्ता-जनित सामग्री की अधिक मात्रा होती है, को अपहृत किया जा सकता है। यह भेद्यता प्लेटफ़ॉर्म, विज्ञापनदाताओं, वेबसाइट के मालिकों और उनके ट्रैफ़िक को प्रभावित करती है।

विशेष रूप से विज्ञापन को देखते हुए, इस उद्योग की पूरी आपूर्ति श्रृंखला रास्ते में हर कदम पर खुद को XSS के पुरोहितों से संकट में पाती है। यहां प्रभावित प्रतिभागियों की एक त्वरित सूची है और कैसे:

1. प्रकाशकों पता करें कि उनकी साइटें हैक हो गई हैं।
2. गूगल क्या उनके नेटवर्क ने खराब अभिनेताओं (खराब विज्ञापनदाताओं) के साथ समझौता किया है।
3. विक्रेताओं कम गुणवत्ता वाला ट्रैफ़िक मिलता है क्योंकि विज्ञापन अधिक आक्रामक होते हैं।
4. विज्ञापनदाता क्या अच्छे लोग हैं जो नियमों से खेलते हैं, वे अनावश्यक रूप से प्रभावित होते हैं।

इस तरह के हमले उपभोक्ता के भरोसे और भरोसे को कम करते हैं अगर उन्हें तुरंत संबोधित और सुधारा नहीं जाता है।

कैसे हैकर्स स्क्रिप्ट कमजोरियों का फायदा उठाते हैं

हमलावर वैकल्पिक निर्देश डालने के लिए एक कमजोर बिंदु ढूंढकर जावास्क्रिप्ट या फ्लैश कोडिंग की जांच करते हैं।

किसी भी समय उस एप्लिकेशन का उपयोग किया जाता है, दुर्भावनापूर्ण कोड सक्रिय हो जाता है और हैकर जो भी परिणाम चाहता है वह किया जाता है। प्रविष्टि के सबसे सामान्य बिंदु वेब फ़ॉर्म, खोज फ़ील्ड, फ़ोरम और कुकी हैं।

इसके अलावा, XSS “काम” पर हमला करता है, भले ही कोई आगंतुक वर्चुअल प्राइवेट नेटवर्क, या वीपीएन का उपयोग करके अपने ट्रैफ़िक को एन्क्रिप्ट करता हो। गुमनामी बनाए रखने के लिए वीपीएन प्रभावी होते हैं, लेकिन जब भी आपके आगंतुक किसी संक्रमित तृतीय-पक्ष के विज्ञापन पर क्लिक करते हैं, खोज करते हैं, या अन्यथा स्क्रिप्ट का सामना करते हैं, तो XSS हमले घुस सकते हैं। संपूर्ण सत्रों को अपहृत किया जा सकता है, और कोड उपयोगकर्ता के खाते तक पहुंच को सक्षम भी कर सकता है।

xxs हमले की समयरेखा

यह व्यापार के लिए बुरा है।

यह नवीनतम हमला प्रकाशकों के लिए DoubleClick, DoubleClick Ad Exchange, और वेबसाइट स्वामियों को iframe के बाहर विज्ञापन प्रदर्शित करने की अनुमति देने वाले अन्य प्लेटफ़ॉर्म पर विज्ञापनों का विस्तार करने के लिए उपयोग किए जाने वाले iFrame बस्टर किट की खामियों पर प्रहार करता है।

आईफ्रेम बस्टर में एचटीएमएल कोड जीआईएफ, जेपीईजी, जावास्क्रिप्ट, एचटीएमएल और फ्लैश जैसे क्रिएटिव को उस फ्रेम की सीमाओं से परे दिखाने की अनुमति देता है जिसमें यह शामिल है। एक उदाहरण बैनर है जो तब फैलता है जब उपयोगकर्ता विज्ञापन पर अपना कर्सर ले जाता है।

स्क्रिप्ट पढ़ने वाले वेबसाइट के मालिक, सर्वर या ब्राउज़र को पता नहीं होता है कि कोई दुर्भावनापूर्ण कोड मौजूद है जो संबंधित नहीं है, और न ही होस्टिंग प्लेटफ़ॉर्म या उपयोगकर्ता। समस्या मुख्य रूप से विज्ञापन डेवलपर्स द्वारा अपनी सामग्री को इन-हाउस फ्रेम-बस्टिंग ऐप्स के साथ गलत तरीके से कोडित करने के कारण है।

Zmx नाम का उपयोग करने वाले एक IDM कर्मचारी द्वारा पूर्ण प्रकटीकरण मेलिंग सूची प्रविष्टि के माध्यम से अवधारणा का प्रमाण (PoC) जारी किया गया था। यह नमूना कोड और अन्य उदाहरण प्रदान करता है कि हमले कैसे शुरू किए जाते हैं। प्रभावित विक्रेताओं और विज्ञापनदाताओं की एक सूची भी पोस्ट की गई है जिसमें अंडरटोन, इंटरपोल और इग्निशनऑन (netmng.com) शामिल हैं। टेक शोधकर्ता रैंडी वेस्टरग्रीन ने नमूने और नवीनतम XSS मुद्दे का स्पष्टीकरण भी प्रदान किया है।

इस तरह के हमलों को रोकने का एकमात्र तरीका मेहनती परीक्षण और/या अपनी वेबसाइट से किसी भी गतिशील, इंटरैक्टिव सामग्री को हटाना है। चूंकि कई ई-कॉमर्स वेबसाइट राजस्व उत्पन्न करने के लिए आगंतुकों के इनपुट पर निर्भर करती हैं, बाद वाला विकल्प सबसे कम आकर्षक है। यह आपकी पहली और आखिरी रक्षा के रूप में मेहनती जांच और परीक्षण छोड़ देता है।

अपने DoubleClick विज्ञापनों को XSS हमलों से बचाने की रणनीतियाँ

नवीनतम हमला उपयोगकर्ताओं की कुकीज़ तक पहुँचता है जब वे बैनर विज्ञापनों वाली वेबसाइटों के साथ बातचीत करते हैं, लेकिन यह खुद को ईमेल, URL और अन्य इंटरैक्टिव, क्लिक करने योग्य सामग्री से भी जोड़ सकता है। माना जाता है कि वर्तमान समस्या वेब 2.0 और अजाक्स प्रौद्योगिकियों से उत्पन्न हुई है जो अधिक गुप्त घुसपैठ की अनुमति देती हैं।

Google ने अपने हाल के तृतीय-पक्ष XSS मुद्दे पर कार्रवाई की है। टेक जायंट के एक प्रवक्ता ने प्रारंभिक खोज के जवाब में यह बयान जारी किया: “हमने इन विक्रेताओं को अक्षम कर दिया है, इन फाइलों को हटा दिया है, और हमारे सहायता केंद्र में निर्देश जोड़े हैं ताकि प्रकाशकों को अपने उपयोगकर्ताओं को सुरक्षित रखने में सहायता के लिए कोई अतिरिक्त कदम प्रबंधित करने में मदद मिल सके।”

तो भविष्य में वेबसाइटों और आगंतुकों को XSS हमले से बचाने के लिए विज्ञापन निर्माता, साइट व्यवस्थापक और डेवलपर क्या कर सकते हैं?

ब्राउज़र स्क्रिप्टिंग अक्षम करें

अल्पावधि में, यह रक्तस्राव को रोकता है लेकिन वेबसाइट की बहुत सारी कार्यक्षमता को भी समाप्त कर देता है। दीर्घकालीन सुधार में बग्गी कोड को सर्वोत्तम प्रथाओं के साथ बदलना शामिल होगा जो उपयोगकर्ता इनपुट को फ़िल्टर करता है और दुर्भावनापूर्ण स्क्रिप्टिंग को स्थापित करने से पहले हटा देता है। पाई गई किसी भी मौजूदा खामियों और कमजोरियों को ठीक करें और, आगे बढ़ते हुए, परिनियोजन से पहले हमेशा कोड का परीक्षण करें।

पैठ परीक्षण करें

यह प्रशासकों को दुर्भावनापूर्ण कोड की जांच करने और इसे हटाने से वेबसाइट या एप्लिकेशन की कार्यक्षमता पर पड़ने वाले प्रभाव को निर्धारित करने की अनुमति देता है। यह विश्लेषण लाइव कोड पर किया जाना चाहिए और अनधिकृत स्क्रिप्ट को रूट करने के लिए कम से कम एक घंटे के टेस्ट रन का उपयोग करना चाहिए ताकि उन्हें हटाया जा सके। यह प्रत्येक पृष्ठ के लिए HTML स्क्रिप्ट में Google Analytics से ट्रैकिंग कोड डालकर या विशिष्ट स्क्रिप्ट को लक्षित करने के लिए Google टैग प्रबंधक का उपयोग करके किया जा सकता है।

एक सख्त श्वेतसूची रणनीति का प्रयोग करें

साथ ही वे विक्रेता जो विज्ञापनदाताओं (या नेटवर्क) के साथ काम करते हैं जिन्होंने भेद्यता का फायदा उठाया है। वेस्टरग्रेन के अनुसार, उन्होंने पाया कि अधिकांश XSS भेद्यताएँ खराब श्वेतसूची कार्यान्वयन के कारण थीं। दूसरे शब्दों में, प्रकाशक कुछ ऐसे डोमेन को प्रतिबंधित करने में विफल रहे जिन्हें निष्पादन स्क्रिप्ट तक पहुंच प्रदान की जानी चाहिए।

उन्होंने कमजोर प्रतिबंधों के साथ iFrame बस्टर का उपयोग करते हुए कई उच्च-ट्रैफिक वेबसाइटों की रूपरेखा तैयार की, इस प्रकार हमलावरों को जीवॉक्स और एडटेक सहित डोमेन से समझौता करने की अनुमति दी। DoubleClick विज्ञापनदाताओं को XSS और अन्य विज्ञापन कारनामों के बारे में Google अपडेट का पालन करना चाहिए, प्रभावित डोमेन पर ध्यान देना चाहिए और चुनिंदा रूप से उन्हें अपने विज्ञापन अभियानों से हटा देना चाहिए। सौभाग्य से, आपके विज्ञापन किन प्रकाशकों पर प्रदर्शित होते हैं, इसे नियंत्रित करने की क्षमता DoubleClick में अंतर्निहित है।

xxs हमले की रोकथाम

Google के नॉलेज बेस के अनुसार, डोमेन को बाहर करने से आपके विज्ञापनों को उस डोमेन पर या उसके भीतर किसी भी पृष्ठ पर प्रदर्शित होने से रोका जा सकेगा। इसलिए XSS द्वारा समझौता किए गए डोमेन पर विज्ञापन से बचने के लिए, DoubleClick में नियमित रूप से ऑडिट करें और अपनी “ब्लैकलिस्ट” अपडेट करें और आप स्पष्ट रहेंगे।

तल – रेखा

जब तक प्लेटफ़ॉर्म XSS हमलों का पूरी तरह से अनुमान लगाने और उन्हें ब्लॉक करने में सक्षम नहीं हो जाता, तब तक हैकर गतिशील सामग्री को निर्देशित करने के लिए उपयोग की जाने वाली स्क्रिप्ट में निहित कमजोरियों का फायदा उठाना जारी रखेंगे।

यह उस समस्या के उद्योग-व्यापी समाधान का समय है जो वेबसाइट के मालिकों को लगभग तब से परेशान कर रही है जब तक ई-कॉमर्स मौजूद है। लेकिन अभी के लिए, सुनिश्चित करें कि आप अपने स्वयं के DoubleClick विज्ञापनों को इन हमलों से बचाने के लिए इन रणनीतियों का पालन कर रहे हैं।

लेखक के बारे में

डैन फ्राइज़ एक स्वतंत्र लेखक और फुल स्टैक रस्ट डेवलपर हैं। वह सेवा (आईएएएस) अनुप्रयोगों के रूप में साइबर सुरक्षा और क्लाउड इंफ्रास्ट्रक्चर में विशिष्ट हितों के साथ प्रौद्योगिकी प्रवृत्तियों में अभिसरण की तलाश करता है। डैन स्नोबोर्डिंग का आनंद लेते हैं और हांगकांग में अपने पालतू बीगल, टेडी के साथ रहते हैं।

DoubleClick विज्ञापनदाताओं को क्या पता होना चाहिए DoubleClick विज्ञापनदाताओं को क्या पता होना चाहिए

प्रातिक्रिया दे

आपका ईमेल पता प्रकाशित नहीं किया जाएगा. आवश्यक फ़ील्ड चिह्नित हैं *