近日 Akamai 重磅推出 Web 前端安全保护利器 PIM，慢雾安全团队紧密配合协助测试。我们认为尽管这是一个非常轻量级的产品，但就加密货币行业而言，如果前端页面内嵌的第三方脚本存在恶意行为，PIM 可以有效识别并加以应对，借此为企业和用户的数据隐私与安全，以及数字化资产提供稳妥保护。 

以下内容来自 Akamai 公众号。

Web 页面中嵌入的脚本，已成为恶意攻击通过浏览器潜伏到我们设备中最主要的方式之一。这其中可能有黑客蓄意植入的恶意脚本，也有一些是网站为无法由自己负责的第三方内容而背锅。

时至今日，一个典型的网站往往会依赖于数十个第三方资源，许多资源都会导致在用户浏览器中执行各种脚本。正常情况下，第三方脚本对于现代网站访问者所期待的动态用户体验意义重大，例如你在访问很多网站时看到的“共享至社交网络”、“搜索本站”，或者页面上展示的广告等内容，往往都是第三方脚本实现的。

但与此同时，很多网站也会包含用于付款、管理帐户或提交个人信息等功能的敏感信息页面，此时的问题在于：网站的安全团队对于这些由第三方提供和维护的脚本知之甚少，也很难掌控这些脚本，因此一旦这些脚本开始产生“不规矩”的行为，或自己网站因为疏漏直接被黑客植入了恶意脚本，往往会在不知不觉间威胁到用户安全。

例如最近一段时间频繁出现的 Magecart 攻击，以及之前时不时有新闻提到用户电脑被恶意征用来进行比特币挖矿的行为，大部分都是这类危险脚本导致的。

对于上述问题，Akamai 区域副总裁暨大中华区总经理李昇认为：“究其本质，Web 页面脚本是高度动态化的。第三方脚本的透明度极低，这就造成了一种难以抵御的新型攻击向量。”

根据 Akamai 的统计，Web 数据窃取攻击在各行各业都稳定保持着较高的攻击量，这其中以零售、媒体和酒店行业尤甚。在最近的一周时间内，Akamai 分析了近50亿次 JavaScript 执行，涉及到1.1亿次页面浏览，发现了约1000个漏洞，而其中任何一个漏洞都可能导致敏感用户数据被盗。

为了帮助网站所有者解决因为第三方脚本可能导致的安全隐患，Akamai 开发设计出 Page Integrity Manager（PIM）。该产品已于近日正式发布，意在通过检测和缓解脚本漏洞来增强网页完整性，通过识别有漏洞的资源、检测可疑行为以及阻止恶意活动，从而帮助网站抵御 JavaScript 威胁，例如 Web 数据窃取、表单劫持和 Magecart 攻击等。

PIM 为 Akamai 客户提供了管理脚本（包括第一方、第三方乃至第 N 方脚本）风险所需的检测能力，以及根据客户自身独特需要制定业务决策所必不可少的实用信息。

专注于区块链生态安全的厦门慢雾科技有限公司成立于2018年1月，该公司致力于成为领先且专注于区块链生态的安全公司，并已成功为全球多家领先的数字货币交易所、钱包、底层公链、智能合约等项目做了安全审计及防御部署。

目前，慢雾科技通过“威胁发现到威胁防御"一体化因地制宜的安全解决方案，为客户提供安全审计、威胁情报(BTI)、漏洞赏金、防御部署、安全顾问等服务，以及加密货币反洗钱(AML)、假充值漏洞扫描、漏洞监测(Vulpush)、被黑档案库(SlowMist Hacked)、智能合约防火墙(FireWall.X)、SafeStaking 等 SaaS 型安全产品。

此次 Akamai PIM 正式上线后，慢雾科技也在第一时间对它的效果进行了三轮对抗测试，认为尽管这是一个非常轻量级的产品，但就加密货币行业而言，如果前端页面内嵌的第三方脚本存在恶意行为，PIM 可以有效识别并加以应对，借此为企业和用户的数据隐私与安全，以及数字化资产提供稳妥保护。

慢雾科技通过自研的 JavaScript 探针平台进行的 PIM 能力测试，测试过程是：慢雾安全团队在 Akamai PIM 保护的页面里植入了 JavaScript 探针，并在 JavaScript 探针管理后台进行动态互动，其中包括：

1. 用户基本信息获取（如 IP、Cookies、设备指纹等）；

2. 目标页面表单隐私内容窃取；

3. 目标页面上，用户的键盘击键内容记录；

4. 动态创建第三方恶意脚本；

5. 目标页面截屏窃取；

如上恶意操作，PIM 都能进行及时的发现并阻止了相关恶意活动。