论文阅读:The Chain of Implicit Trust: An Analysis of the Web Third-party Resources Loading

最新推荐文章于 2022-04-19 17:33:20 发布
最新推荐文章于 2022-04-19 17:33:20 发布
阅读量248 收藏
点赞数
分类专栏: 论文阅读
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39378221/article/details/114583332
版权

文章目录

The Chain of Implicit Trust: An Analysis of the Web Third-party Resources Loading

1 背景&目的

  web是一个互相连接的服务的复杂集合,网站从各种第三方(例如广告、跟踪、分析服务,CDN等)导入一系列外部资源。而后者,即第三方也会从其他域名处加载资源。因此对于每个网站来说,这创建了一条依赖链,由第一方和传递连接的第三方之间的隐式信任形式为基础。

本文就从这个依赖链出发,对网络中的依赖链进行了大规模的研究

2 相关概念

  网站会从大量的第三方域名加载资源,例如广告、跟踪服务等。而第三方还会从其他域名加载资源,因此就有以下概念:

  • 依赖链(dependency chain):第一方引用第三方域名,而第三方又额外加载其他域名上的内容,这样便构成了一条依赖链
  • 显示信任(explicit trust):第一方与其直接引用的第三方构成显示信任关系
  • 隐式信任(explict trust):第一方与第三方额外引用的域名之间构成隐式信任关系

  例如bbc.om,它从widgets.com加载了JavaScript代码,而这个代码执行时,又从ads.com加载了额外的内容,这时候bbc.com就是第一方网站,它显示信任widgets.com,隐式信任ads.com。在依赖链中,widgets.com可以表示为第一层,ads.com可以表示为第二层。

  第一方网站在域名依赖链下加载的资源上缺乏可见性,会导致安全问题,例如DDoS攻击或勒索活动。

  本文将第三方域名分类为良性的可疑的两类。

3 数据集

3.1 数据收集

  使用基于Chromium的无头浏览器爬取Alexa-top 200K的网站,可以根据网络请求跟踪资源的依赖关系。第一方可能会触发多个依赖链,也就是说形成树的结构,本文的第三方请求识别方法是对比二级域名,如果二级域名不一样就考虑为第三方。而子域名则不考虑是第三方。本文使用Mozilla Public Suffix和tldextract来消除网站子域名和country-specific子域名之间的歧义(例如player.bbc.com和bbc.co.uk)。

  最后得到11287230条URL,其中包含6806494个不同的外部资源,对应68828个第三方二级域名和196940个第一方二级域名。

3.2 数据丰富

  本文使用了VirusTotal提供的对第三方URL进行了检测,目的是为了找出恶意的内容。还收集域名的WebSense类别(VirusTotal记录API提供的),同时消除依赖链中的无效URL,最后收集到的是196940个第一方网站,以及68828个第三方域名

4 信任链

4.1 网站是否依赖隐式信任?

  第一方加载的外部资源中位数是27个。下标展示了在每个Alexa排名区间的网站加载显式和隐式信任第三方的百分比。

在这里插入图片描述

  95%的网站都会加载外部资源,91%的网站加载外部JS代码。50%的网站确实依赖隐式信任。在更受欢迎的网站中,形成依赖链的倾向略高一些,换句话说即是,越流行的网站越是倾向于更多地依赖隐式信任的第三方。

  隐式信任的第三方会出现在链中的各个位置,下图展示了所有第一方网站链长的累积分布函数(按照第一方网站类别进行划分)
在这里插入图片描述

  80%的网站依赖链长度都不超过3,但是每个类别的网站大概都会导入2%的超过3级及以上的外部资源。极端例子还有包含38层的链长

4.2 链中存在着哪些对象?

  本文对资源进行了分类,分为4种主要类型。

  • Image
  • JavaScript
  • Data(包括HTML、JSON、XML、plain text files)
  • CSS/Fonts

下表展示了4种资源类型在每一层上的数量分布情况

在这里插入图片描述

  本文检查了托管这些资源的第三方域名的类别,下图展示了链中每一层第三方类别的构成。
在这里插入图片描述

可以看到无论是哪一层,广告占比都是最多的

5 可疑链

5.1 链中是否包含可疑方?

  下表显示了使用几个VTscore阈值将第三方分类为可疑的第三方的比例。保守认为VTscore为10的是可疑的。

在这里插入图片描述

16%的第一方隐式信任了可疑的JS。

5.2 可疑方有多普遍?

  下图展示了每个第一方引用的第三方资源的累积分布函数,24.8%的第一方页面包含了至少3个被标记为可疑的第三方。

在这里插入图片描述

即使只有1.6%的第三方被标记为可疑,但是他们至少分散到了三分之一的网站中。下标展示了top10提供可疑js的第三方
在这里插入图片描述
有趣的是google-analytics.com,调查发现它是因为加载了一个叫sf-helper.net的第三方,这个第三方分发adware和spyware,后来2018年9月发现这个域名已经不再加载了,下图展示了google-analytics.com变好之后累积分布图

在这里插入图片描述

这有效地突出了高中心性第三方被允许加载更多资源的影响:一个网站的感染可以立即影响大部分网站。

5.3 可疑第三方有多流行?

  流行是指Alexa的排名。本文发现有几个可疑第三方排名在top 100内。

  下图展示了第一方域名(根据Alexa排名)引入的可疑js代码数量,可见第一方域名在大于2层的时候引入了很多可疑js。
在这里插入图片描述

  下图展示了由可疑第三方(根据Alexa排名)导致而受影响的第一方域名的数量。

在这里插入图片描述

  这些发现表明,各种第三方恶意JS内容是来自各种,不一定是“模糊”的第三方域名。

5.4 可疑第三方一般在哪一级存在?

  下表展示了加载了至少一个VTscore大于10的网站的比例。
在这里插入图片描述大多数被分类为可疑的资源位于依赖链的第1级,它们被第一方显示信任。这表明网站运营商并没有完全监控他们的第三方资源。更重要的是,可疑内容会通过隐式信任导入。在这种情况下,第一方可能不知道他们的存在。

下图显示了在每一层每一个可疑第三方网站类别的分布。

在这里插入图片描述
  下图显示了专门针对可疑JS资源的域名类别的细分。
在这里插入图片描述

6 总结

  本文发现超过40%的网站确实依赖于隐形信任,本文发现了一些不常见的隐式信任第三方。这可能会增加攻击面

就叫昵称吧
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
The Word-association Structure of Love: An Implicit Love Theory of Chinese University Students
01-18
爱情的字词联想结构:一种基于中国大学生的内隐爱情理论,李朝旭,徐伟,本文对大学生爱情概念的表征进行了初探。依据激活扩散模型,采用“爱情”一词为刺激,让278名大学生被试进行自由联想,选出前100个
创建peer的错误:Failed to reach implicit threshold of 1 sub-policies, required 1 remaining
01-20
Policy for [Groups] /Channel/Application not satisfied: Failed to reach implicit threshold of 1 sub-policies, required 1 remaining 错误原因: The most common reasons are: The identit
Extension of The Implicit Curve-Fitting Method for Fast Calculation of Thermodynamic Properties to Subcooled Refrigerant
01-19
Extension of The Implicit Curve-Fitting Method for Fast Calculation of Thermodynamic Properties to Subcooled Refrigerant,丁国良,吴志刚,Calculations of refrigerant thermal properties are desired to ...
iyon-module-implicit.rar_https://www.iyon
09-20
iyón 模块隐式调用技术主要涉及网络通信与音视频处理,通过 Winsock 控件实现网络通信,以及 VC++ 编写的 DLL 文件处理语音功能。Winsock 控件是 Windows 下进行网络编程的重要工具,它提供了标准的套接字(Socket...
babel-plugin-arrow-functions-implicit-return:箭头功能块的行为类似于表达式
05-02
箭头函数隐式返回 该插件使您可以使用箭头函数(如 。 例子 const shows = [ "Death Note" , "Steins;Gate" , "Maho shojo XD" ] ; const nextShow = prevShow => { const prevIndex = shows ....
Drain算法:日志解析
qq_39378221的博客
11-08 8499
文章目录论文1 算法的作用2 算法原理0 树结构1 算法第一步:**通过专业知识对消息进行预处理**2 算法第二步:**通过日志消息长度进行搜索**3 算法第三步:**通过前面的tokens进行搜索**4 算法第四步:通过token相似度搜索5 算法第五部:更新解析树 论文 《Drain: An Online Log Parsing Approach with Fixed Depth Tree》 1 算法的作用   Drain是一种基于固定深度树的在线日志解析(日志解析的目标是将原始日志信息转换为结构化的日
论文阅读:Social Media and Fake News in the 2016 Election
qq_39378221的博客
04-14 640
文章目录1 背景2 假新闻的市场2.1 定义和历史2.2 谁制造了假新闻?2.3 假新闻模型3 假新闻的真实数据4 社交媒体作为政治信息的来源5 曝光假新闻 1 背景   随着媒体技术的变化,美国民主制度屡屡受挫。在19世纪,廉价的新闻纸和改进的印刷机使得党派性报纸极大地扩大了它们的影响范围。在20世纪,随着广播和电视称为主流,有人担心这些新平台会让有魅力的候选人比有真能力的候选人更有优势。最近,关注的交点转移到了社交媒体上。像Facebook这样的社交媒体平台与之前的媒体技术有着显著不同的结构,内容在用户
论文阅读:Domain Name Encryption Is Not Enough: Privacy Leakage via IP-based Website Fingerprinting
qq_39378221的博客
03-08 568
文章目录Domain Name Encryption Is Not Enough: Privacy Leakage via IP-based Website Fingerprinting1 背景&目的2 域名加密(Domain Name Encryption)3 网站指纹(Website Fingerprinting)4 威胁模型5 指纹构造5.1 基于IP的指纹5.2 通过Connection Bucketing加强基于IP的指纹6 实验 Domain Name Encryption Is Not
论文阅读:Cached and Confused: Web Cache Deception in the wild
qq_39378221的博客
04-19 551
文章目录1 背景1.1 web缓存1.2 路径混淆1.3 web缓存欺骗2 WCD攻击测量方法2.1 第一阶段:测量设置2.1.1 域名发现2.1.2 账号创建2.1.3 Cookie收集2.2 第二阶段:攻击面检测2.3 第三阶段:WCD检测3 WCD测量分析3.1 WCD漏洞在流行网站中的存在情况3.2 WCD漏洞是否会暴露以及会暴露何种PII3.3 WCD漏洞是否可以击败针对web应用程序攻击的防御3.4 WCD漏洞是否会被未认证用户利用4 路径混淆变种5 Empirical Experiments6
论文阅读:Analyzing Third Party Service Dependencies in Modern Web Services
qq_39378221的博客
02-03 338
文章目录Analyzing Third Party Service Dependencies in Modern Web Services: Have We Learned from the Mirai-Dyn Incident?1 背景&目的2 问题范围&一些概念2.1 问题范围2.2 基本概念3 测量方法3.1 DNS测量方法3.2 CA测量方法3.3 CDN测量3.4 服务之间的依赖4 测量结果4.1 直接依赖4.1.1 第三方依赖4.1.2 服务提供者的集中度4.2 间接依赖4.2.
论文阅读:Supporting Early and Scalable Discovery of Disinformation Websites
qq_39378221的博客
01-31 252
文章目录Supporting Early and Scalable Discovery of Disinformation1 背景&目的2 虚假信息的定义3 网站类别&数据集4 特征工程4.1 特征粒度4.2 特征4.3 Domain Features1 注册商(registrar)2 注册者(registrant)3 注册信息(Registration)4 域名本身(Domain Name)5 Nameserver4.4 Certificate Features1 SAN Count2 C
论文阅读:Security Challenges in an Increasingly Tangled Web
qq_39378221的博客
02-22 209
文章目录Security Challenges in an Increasingly Tangled Web1 背景&目的2 数据采集3 网站复杂度3.1 网站组成3.2 外部依赖3.3 网络提供商4 隐式信任5 HTTPS Blockers6 结论 Security Challenges in an Increasingly Tangled Web WWW 2017 1 背景&目的   目前的情况来看,网站是复杂且相关联的。到2016年为止,很少有网站是完全独立的,90%的网站会依赖外部内
论文阅读:Measuring the Impact of a Successful DDoS Attack on the Customer Behaviour of Managed DNS Servi
qq_39378221的博客
03-05 206
文章目录Measuring the Impact of a Successful DDoS Attack on the Customer Behaviour of Managed DNS Service Providers1 背景&目的2 DDoS攻击的影响2.1 数据集2.2 域名类型2.3 测量影响2.3.1 域名行为定义2.3.2 趋势和事件时期(trend and event period)2.3.3 行为变量的测量3 测量结果分析3.1 时间序列变化3.2 行为变化的统计学意义3.3 DN
微信小程序设计淘宝客导购小程序 pangolin_tbk 2.0.8安装更新一体包源代码+部署教程完美运行版.7z
08-11
经导师精心指导并认可、获 98 分的毕业设计项目!【项目资源】:微信小程序。【项目说明】:聚焦计算机相关专业毕设及实战操练,可作课程设计与期末大作业,含全部源码,能直用于毕设,经严格调试,运行有保障!【项目服务】:有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。 经导师精心指导并认可、获 98 分的毕业设计项目!【项目资源】:微信小程序。【项目说明】:聚焦计算机相关专业毕设及实战操练,可作课程设计与期末大作业,含全部源码,能直用于毕设,经严格调试,运行有保障!【项目服务】:有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。 经导师精心指导并认可、获 98 分的毕业设计项目!【项目资源】:微信小程序。【项目说明】:聚焦计算机相关专业毕设及实战操练,可作课程设计与期末大作业,含全部源码,能直用于毕设,经严格调试,运行有保障!【项目服务】:有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。 经导师精心指导并认可、获 98 分的毕业设计项目!【项目资源】:微信小程序。【项目说明】:聚焦计算机相关专业毕设及实战操练,可作课程设计与期末大作业,含全部源码,能直用于毕设,经严格调试,运行有保障!【项目服务】:有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。
光伏风电出力预测(Prediction of PV power and wind power oiutputs)+源代码+说明
08-11
<项目介绍> - python、Sk-learn、概率预测、光伏出力、风电出力 - 不懂运行,下载完可以私聊问,可远程教学 该资源内项目源码是个人的毕设,代码都测试ok,都是运行成功后才上传资源,答辩评审平均分达到96分,放心下载使用! 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。 --------
智慧景区综合解决方案.docx
08-11
智慧景区综合解决方案.docx
mediapipe-0.8.8.1-cp37-cp37m-win_amd64.whl
08-11
mediapipe-0.8.8.1-cp37-cp37m-win_amd64.whl
Windows 微信历史版本 V3.9.6.32
最新发布
08-11
版本信息概述 版本号:V3.9.6.32 平台:Windows 类型:历史版本
a.c:10: warning: incompatible implicit declaration of built-in function ‘exit’
06-12
这个警告的意思是,在编译 a.c 文件时,编译器发现了一个隐式声明的 exit() 函数,但是这个函数的声明与标准库中的声明不兼容,因此编译器会使用默认的声明,而这个默认的声明与实际的函数定义不匹配,导致可能会...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值