威胁类型:服务劫持

  • 威胁编号:T4-3-2
  • 威胁分类:恶意篡改-分发阶段篡改
  • 威胁描述:攻击者通过劫持软件分发服务(如 CDN、下载服务器等),将用户重定向到恶意服务器或篡改软件包。

威胁案例

外部API

2023年BootCDN投毒事件:多个开发者发现在特定请求中(如特定Referer及移动端user-agent)会返回包含指向union.macoms.la地址的恶意js文件,导致加载云端控制的广告内容。

解决方案

  1. 使用子资源完整性 (SRI) 校验防止js资源被篡改
  • 在 HTML 中使用 integrity 属性验证从 CDN 加载的资源
  1. 对于需要下载的资源,使用哈希、文件签名等方式校验

参考链接

Copyright © 2025 OSCS Group