虽然双十一刚刚过去不久,但是对很多工程师来说,连续熬夜加班的「噩梦」似乎还没有过去。尤其是像双十一这种活动,对于电商网站的工程师们来说,他们需要彻夜的加班加点来保障网站的稳定性和安全性。当然,面对上千亿的销售额,更是让所有的电商平台工程师们,对安全问题不敢有任何一丝丝的怠慢。
XSS:成为网站安全的「头号」大敌
跨站脚本攻击(XSS)是客户端脚本安全中的头号大敌,曾多次位于 OWASP TOP 10 威胁的榜首。安全研究人员在大部分最受欢迎的网站,包括 Google、Facebook、 Amazon、 PayPal 等,都发现这个漏洞的存在。这些漏洞的存在,让黑客可以通过「HTML注入」篡改网页,从而插入恶意的脚本,在用户浏览网页时,控制用户浏览器。
举个例子,可以让大家从攻击的角度体验一下 XSS 的威力。通过 XSS 攻击成功后,攻击者能够在你的浏览器中植入恶意的脚本,如 JavaScript、Flash 等。这类脚本往往可以读取浏览器的 Cookie 对象,从而发起「Cookie劫持」攻击。说的直白点,如果你的 Cookie 中保存过一些登陆凭证,攻击者就可以不通过密码,直接进入你的用户。
除了刚刚举例的「Cookie劫持」外,XSS 漏洞还常被用于发动恶意软件传播(蠕虫攻击),会话劫持、恶意重定向等。它破坏力强大,且产生的情景复杂,很难快速修补。所以,如何快速的防御各类 XSS 攻击,是一个亟需解决的问题。
RASP 为网站安全「保驾护航」
RASP(Runtime application self-protection)是一种新型应用安全保护技术,它将保护程序想疫苗一样注入到应用程序和应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具备自我保护能力,当应用程序遇到特定漏洞和攻击时不需要人工干预就可以进行自动重新配置应对新的攻击。
RASP 的工作原理如下图所示,这种安全策略在可疑行为进入应用程序时并不拦截,而是先对其进行标记,在输出时再检查是否为危险行为,所以能够大大减少误报和漏报的概率。
RASP 也是目前业界已知的对 SQL 注入防护最高的一种手段,而且识别率非常高,它能够有效地解决电商网站的数据安全和泄露问题。
比如像 XSS 这种攻击,在RASP面前就不值一提。RASP 定制了针对 XSS 攻击的规则集和防护类,然后采用 Java 字节码技术,在被保护的类被加载进虚拟机之前,根据规则对被保护的类进行修改,将防护类织入到到被保护的类中。所以在RASP能够非常有效地抵御 XSS 这种攻击。
OneRASP(实时应用自我保护)是一种基于云的应用程序自我保护服务, 可以为软件产品提供实时保护,使其免受漏洞所累。