摘要:雖然雙十一剛剛過(guò)去不久�����,但是對(duì)很多工程師來(lái)說(shuō)���,連續(xù)熬夜加班的噩夢(mèng)似乎還沒(méi)有過(guò)去����。尤其是像雙十一這種活動(dòng)��,對(duì)于電商網(wǎng)站的工程師們來(lái)說(shuō)�,他們需要徹夜的加班加點(diǎn)來(lái)保障網(wǎng)站的穩(wěn)定性和安全性。比如像這種攻擊�,在面前就不值一提�����。
雖然雙十一剛剛過(guò)去不久�����,但是對(duì)很多工程師來(lái)說(shuō)�,連續(xù)熬夜加班的「噩夢(mèng)」似乎還沒(méi)有過(guò)去���。尤其是像雙十一這種活動(dòng)��,對(duì)于電商網(wǎng)站的工程師們來(lái)說(shuō)����,他們需要徹夜的加班加點(diǎn)來(lái)保障網(wǎng)站的穩(wěn)定性和安全性�����。當(dāng)然����,面對(duì)上千億的銷售額,更是讓所有的電商平臺(tái)工程師們����,對(duì)安全問(wèn)題不敢有任何一絲絲的怠慢��。
XSS:成為網(wǎng)站安全的「頭號(hào)」大敵
跨站腳本攻擊(XSS)是客戶端腳本安全中的頭號(hào)大敵�����,曾多次位于 OWASP TOP 10 威脅的榜首��。安全研究人員在大部分最受歡迎的網(wǎng)站���,包括 Google、Facebook��、 Amazon�����、 PayPal 等�����,都發(fā)現(xiàn)這個(gè)漏洞的存在��。這些漏洞的存在����,讓黑客可以通過(guò)「HTML注入」篡改網(wǎng)頁(yè),從而插入惡意的腳本�����,在用戶瀏覽網(wǎng)頁(yè)時(shí)����,控制用戶瀏覽器。
舉個(gè)例子�,可以讓大家從攻擊的角度體驗(yàn)一下 XSS 的威力。通過(guò) XSS 攻擊成功后���,攻擊者能夠在你的瀏覽器中植入惡意的腳本��,如 JavaScript�、Flash 等����。這類腳本往往可以讀取瀏覽器的 Cookie 對(duì)象,從而發(fā)起「Cookie劫持」攻擊����。說(shuō)的直白點(diǎn)�����,如果你的 Cookie 中保存過(guò)一些登陸憑證��,攻擊者就可以不通過(guò)密碼���,直接進(jìn)入你的用戶。
除了剛剛舉例的「Cookie劫持」外��,XSS 漏洞還常被用于發(fā)動(dòng)惡意軟件傳播(蠕蟲攻擊),會(huì)話劫持��、惡意重定向等��。它破壞力強(qiáng)大����,且產(chǎn)生的情景復(fù)雜��,很難快速修補(bǔ)����。所以,如何快速的防御各類 XSS 攻擊,是一個(gè)亟需解決的問(wèn)題���。
RASP 為網(wǎng)站安全「保駕護(hù)航」
RASP(Runtime application self-protection)是一種新型應(yīng)用安全保護(hù)技術(shù)�,它將保護(hù)程序想疫苗一樣注入到應(yīng)用程序和應(yīng)用程序融為一體����,能實(shí)時(shí)檢測(cè)和阻斷安全攻擊,使應(yīng)用程序具備自我保護(hù)能力�����,當(dāng)應(yīng)用程序遇到特定漏洞和攻擊時(shí)不需要人工干預(yù)就可以進(jìn)行自動(dòng)重新配置應(yīng)對(duì)新的攻擊�。
RASP 的工作原理如下圖所示,這種安全策略在可疑行為進(jìn)入應(yīng)用程序時(shí)并不攔截���,而是先對(duì)其進(jìn)行標(biāo)記����,在輸出時(shí)再檢查是否為危險(xiǎn)行為����,所以能夠大大減少誤報(bào)和漏報(bào)的概率。
RASP 也是目前業(yè)界已知的對(duì) SQL 注入防護(hù)最高的一種手段���,而且識(shí)別率非常高����,它能夠有效地解決電商網(wǎng)站的數(shù)據(jù)安全和泄露問(wèn)題。
比如像 XSS 這種攻擊��,在RASP面前就不值一提���。RASP 定制了針對(duì) XSS 攻擊的規(guī)則集和防護(hù)類���,然后采用 Java 字節(jié)碼技術(shù),在被保護(hù)的類被加載進(jìn)虛擬機(jī)之前���,根據(jù)規(guī)則對(duì)被保護(hù)的類進(jìn)行修改�����,將防護(hù)類織入到到被保護(hù)的類中�����。所以在RASP能夠非常有效地抵御 XSS 這種攻擊���。
OneRASP(實(shí)時(shí)應(yīng)用自我保護(hù))是一種基于云的應(yīng)用程序自我保護(hù)服務(wù), 可以為軟件產(chǎn)品提供實(shí)時(shí)保護(hù)�,使其免受漏洞所累。
文章版權(quán)歸作者所有��,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為�,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://m.hztianpu.com/yun/64751.html
