摘要:雖然雙十一剛剛過去不久�,但是對很多工程師來說,連續(xù)熬夜加班的噩夢似乎還沒有過去�����。尤其是像雙十一這種活動,對于電商網(wǎng)站的工程師們來說���,他們需要徹夜的加班加點來保障網(wǎng)站的穩(wěn)定性和安全性�����。比如像這種攻擊��,在面前就不值一提���。
雖然雙十一剛剛過去不久,但是對很多工程師來說�����,連續(xù)熬夜加班的「噩夢」似乎還沒有過去���。尤其是像雙十一這種活動,對于電商網(wǎng)站的工程師們來說���,他們需要徹夜的加班加點來保障網(wǎng)站的穩(wěn)定性和安全性����。當(dāng)然,面對上千億的銷售額���,更是讓所有的電商平臺工程師們�����,對安全問題不敢有任何一絲絲的怠慢���。
XSS:成為網(wǎng)站安全的「頭號」大敵
跨站腳本攻擊(XSS)是客戶端腳本安全中的頭號大敵,曾多次位于 OWASP TOP 10 威脅的榜首��。安全研究人員在大部分最受歡迎的網(wǎng)站���,包括 Google�、Facebook�����、 Amazon�、 PayPal 等,都發(fā)現(xiàn)這個漏洞的存在���。這些漏洞的存在��,讓黑客可以通過「HTML注入」篡改網(wǎng)頁����,從而插入惡意的腳本,在用戶瀏覽網(wǎng)頁時��,控制用戶瀏覽器���。
舉個例子����,可以讓大家從攻擊的角度體驗一下 XSS 的威力�。通過 XSS 攻擊成功后,攻擊者能夠在你的瀏覽器中植入惡意的腳本�����,如 JavaScript��、Flash 等�����。這類腳本往往可以讀取瀏覽器的 Cookie 對象��,從而發(fā)起「Cookie劫持」攻擊�。說的直白點,如果你的 Cookie 中保存過一些登陸憑證���,攻擊者就可以不通過密碼��,直接進(jìn)入你的用戶����。
除了剛剛舉例的「Cookie劫持」外���,XSS 漏洞還常被用于發(fā)動惡意軟件傳播(蠕蟲攻擊),會話劫持�����、惡意重定向等��。它破壞力強大�����,且產(chǎn)生的情景復(fù)雜��,很難快速修補��。所以����,如何快速的防御各類 XSS 攻擊,是一個亟需解決的問題����。
RASP 為網(wǎng)站安全「保駕護航」
RASP(Runtime application self-protection)是一種新型應(yīng)用安全保護技術(shù),它將保護程序想疫苗一樣注入到應(yīng)用程序和應(yīng)用程序融為一體����,能實時檢測和阻斷安全攻擊,使應(yīng)用程序具備自我保護能力����,當(dāng)應(yīng)用程序遇到特定漏洞和攻擊時不需要人工干預(yù)就可以進(jìn)行自動重新配置應(yīng)對新的攻擊。
RASP 的工作原理如下圖所示�����,這種安全策略在可疑行為進(jìn)入應(yīng)用程序時并不攔截��,而是先對其進(jìn)行標(biāo)記�,在輸出時再檢查是否為危險行為�����,所以能夠大大減少誤報和漏報的概率。
RASP 也是目前業(yè)界已知的對 SQL 注入防護最高的一種手段�,而且識別率非常高,它能夠有效地解決電商網(wǎng)站的數(shù)據(jù)安全和泄露問題����。
比如像 XSS 這種攻擊,在RASP面前就不值一提����。RASP 定制了針對 XSS 攻擊的規(guī)則集和防護類,然后采用 Java 字節(jié)碼技術(shù)�����,在被保護的類被加載進(jìn)虛擬機之前�,根據(jù)規(guī)則對被保護的類進(jìn)行修改,將防護類織入到到被保護的類中����。所以在RASP能夠非常有效地抵御 XSS 這種攻擊。
OneRASP(實時應(yīng)用自我保護)是一種基于云的應(yīng)用程序自我保護服務(wù)��, 可以為軟件產(chǎn)品提供實時保護,使其免受漏洞所累�����。
文章版權(quán)歸作者所有���,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/64751.html
