資訊專欄INFORMATION COLUMN
摘要:與攻擊相比,攻擊往往很少見,因此對其進行防范的資源也相當稀少。不過,這種受信任的攻擊模式更加難以防范,所以被認為比更具危險性。通過實時升級系統快速同步最新漏洞,避免零日攻擊。
現在,我們絕大多數人都會在網上購物買東西。但是很多人都不清楚的是,很多電商網站會存在安全漏洞。比如烏云就通報過,國內很多家公司的網站都存在 CSRF 漏洞。如果某個網站存在這種安全漏洞的話,那么我們在購物的過程中,就很可能會被網絡黑客盜刷信用卡。是不是有點「不寒而栗」 的感覺?
首先,我們需要弄清楚 CSRF 是什么。它的全稱是 Cross-site request forgery ,翻譯成中文的意思就是「跨站請求偽造」,這是一種對網站的惡意利用。簡單而言,就是某惡意網站在我們不知情的情況下,以我們的身份在你登錄的某網站上胡作非為——發消息、買東西,甚至轉賬......
這種攻擊模式聽起來有點像跨站腳本(XSS),但 CSRF 與 XSS 非常不同,并且攻擊方式幾乎相左。XSS 利用站點內的信任用戶,而 CSRF 則通過偽裝來自受信任用戶的請求來利用受信任的網站。與 XSS 攻擊相比,CSRF 攻擊往往很少見,因此對其進行防范的資源也相當稀少。不過,這種「受信任」的攻擊模式更加難以防范,所以被認為比 XSS 更具危險性。
這個過程到底是怎樣的呢?讓我們看個簡單而鮮活的案例。
銀行網站 A,它以 GET 請求來完成銀行轉賬的操作,如:
http://www.mybank.com/Transfer.php?toBankId=11&money=1000
危險網站 B,它里面有一段 HTML 的代碼如下:
可能會發生什么?你登錄了銀行網站 A,然后訪問危險網站 B 以后,突然發現你的銀行賬戶少了10000塊......
為什么會這樣呢?原因是在訪問危險網站 B 之前,你已經登錄了銀行網站 A,而 B 中的以 GET 的方式請求第三方資源(這里的第三方就是指銀行網站了,原本這是一個合法的請求,但這里被不法分子利用了),所以你的瀏覽器會帶上你的銀行網站 A 的 Cookie 發出 GET 請求,去獲取資源
「http://www.mybank.com/Transfer.php?toBankId=11&money=1000」,
結果銀行網站服務器收到請求后,認為這是一個合理的轉賬操作,就立刻轉賬了......
其實,真實的銀行網站不會如此不加防范,但即使用 POST 替代 GET,也只是讓危險網站多花些力氣而已。危險網站 B 依然可以通過嵌入 Javascript 來嘗試盜取客戶資金,所以我們時不時會聽到客戶資金被盜的案件,其實這并不是很不稀奇。
相信,很多人了解到這兒,會出現一身冷汗,還讓不讓我們在「雙11」期間能夠愉快地享受網購的快感了?難道沒有什么辦法防住它嘛?
當然是有的。可以給網站打補丁,如 Cookie Hashing (所有表單都包含同一個偽隨機值)。這可能是最簡單的解決方案了,因為理論上攻擊者不能獲得第三方的 Cookie,所以表單中的數據也就構造失敗了。但這并不是完美的解決方案,因為用戶的 Cookie 很容易由于網站的 XSS 漏洞而被盜取;另一種方法是用驗證碼,每次的用戶提交都需要用戶在表單中填寫一個圖片上的隨機字符串....這個方案可以完全解決 CSRF,但用戶體驗很遭罪(忒麻煩了)。還有一種是 One-Time Tokens(不同的表單包含不同的偽隨機值),需要設計令牌和 Session 管理邏輯,并修改 Web 表單,網站運維又很遭罪。
以上所有辦法都需要對網站進行修修補補,再花費很多氣力去測試。可能有人會想到用防火墻來防護,那么有沒有滿足要求的產品呢?在去年,下一代防火墻——自適應安全防護(RASP)這個概念橫空出世,吸引了很多企業的注意,它對請求上下文的感知能力和深入應用內部的識別防御能力一改被動的、外部肉盾式的防護理念,可以在無需給網站打補丁的情形下承擔起防護的責任,值得嘗試。
這里推薦一個最新的解決方案,它的名字叫 RASP(實時應用自我保護),這種方式可以有效解決這類的問題。針對 CSRF 漏洞問題,RASP 定制了規則集和防護類,然后采用 Java 字節碼技術,在被保護的類被加載進虛擬機之前,根據規則對被保護的類進行修改,將防護類織入到被保護的類中。大家不妨可以一試。
目前國內僅有一家在提供 RASP 的服務廠商 OneASP。 能以最小代價并且快速解決上述難題,你只需要非常簡單的修改一下 JVM 的啟動配置,就可以將運行。它能將攻擊過程透明化,通過控制臺可以非常清楚的知道系統什么時候、哪個模塊、哪行代碼遭受了哪種類型的攻擊。同時還能夠快速修復漏洞,只要將 OneRASP 和應用程序部署在一起就可以快速修復已知漏洞,不需要漫長的掃描 - 修復 - 掃描的過程。通過實時升級系統快速同步最新漏洞,避免零日攻擊。
當然,只有 OneRASP 也并非萬無一失,最優的解決方案是將 OneRASP 和網絡安全解決方案、應用安全掃描與測試等安全防護系統結合起來,形成多層次立體的防御體系。如今各種攻擊手段層出不窮,單靠其中任一技術來防范應用程序的安全是不科學的。但 OneRASP 永遠是應用程序安全保護的最后一道無法逾越的壕溝,它可以幫你快速提升應用程序的安全級別,你再也不用擔憂沒有合格的安全工程師了。當然也確保你的企業不會作為下一個安全受害者登上頭條。
OneRASP(實時應用自我保護)是一種基于云的應用程序自我保護服務, 可以為軟件產品提供實時保護,使其免受漏洞所累。
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/11158.html
摘要:雖然雙十一剛剛過去不久,但是對很多工程師來說,連續熬夜加班的噩夢似乎還沒有過去。尤其是像雙十一這種活動,對于電商網站的工程師們來說,他們需要徹夜的加班加點來保障網站的穩定性和安全性。比如像這種攻擊,在面前就不值一提。 雖然雙十一剛剛過去不久,但是對很多工程師來說,連續熬夜加班的「噩夢」似乎還沒有過去。尤其是像雙十一這種活動,對于電商網站的工程師們來說,他們需要徹夜的加班加點來保障網站的...
摘要:應用常見安全漏洞一覽注入注入就是通過給應用接口傳入一些特殊字符,達到欺騙服務器執行惡意的命令。此外,適當的權限控制不曝露必要的安全信息和日志也有助于預防注入漏洞。 web 應用常見安全漏洞一覽 1. SQL 注入 SQL 注入就是通過給 web 應用接口傳入一些特殊字符,達到欺騙服務器執行惡意的 SQL 命令。 SQL 注入漏洞屬于后端的范疇,但前端也可做體驗上的優化。 原因 當使用外...
摘要:應用常見安全漏洞一覽注入注入就是通過給應用接口傳入一些特殊字符,達到欺騙服務器執行惡意的命令。此外,適當的權限控制不曝露必要的安全信息和日志也有助于預防注入漏洞。 web 應用常見安全漏洞一覽 1. SQL 注入 SQL 注入就是通過給 web 應用接口傳入一些特殊字符,達到欺騙服務器執行惡意的 SQL 命令。 SQL 注入漏洞屬于后端的范疇,但前端也可做體驗上的優化。 原因 當使用外...
閱讀 1368·2021-09-13 10:25
閱讀 552·2019-08-30 15:53
閱讀 2265·2019-08-30 15:44
閱讀 2024·2019-08-29 17:20
閱讀 1593·2019-08-29 16:36
閱讀 1794·2019-08-29 14:10
閱讀 1784·2019-08-29 12:44
閱讀 1165·2019-08-23 14:13
