摘要:雖然雙十一剛剛過去不久,但是對很多工程師來說,連續熬夜加班的噩夢似乎還沒有過去。尤其是像雙十一這種活動,對于電商網站的工程師們來說,他們需要徹夜的加班加點來保障網站的穩定性和安全性。比如像這種攻擊,在面前就不值一提。
雖然雙十一剛剛過去不久,但是對很多工程師來說,連續熬夜加班的「噩夢」似乎還沒有過去。尤其是像雙十一這種活動,對于電商網站的工程師們來說,他們需要徹夜的加班加點來保障網站的穩定性和安全性。當然,面對上千億的銷售額,更是讓所有的電商平臺工程師們,對安全問題不敢有任何一絲絲的怠慢。
XSS:成為網站安全的「頭號」大敵
跨站腳本攻擊(XSS)是客戶端腳本安全中的頭號大敵,曾多次位于 OWASP TOP 10 威脅的榜首。安全研究人員在大部分最受歡迎的網站,包括 Google、Facebook、 Amazon、 PayPal 等,都發現這個漏洞的存在。這些漏洞的存在,讓黑客可以通過「HTML注入」篡改網頁,從而插入惡意的腳本,在用戶瀏覽網頁時,控制用戶瀏覽器。
舉個例子,可以讓大家從攻擊的角度體驗一下 XSS 的威力。通過 XSS 攻擊成功后,攻擊者能夠在你的瀏覽器中植入惡意的腳本,如 JavaScript、Flash 等。這類腳本往往可以讀取瀏覽器的 Cookie 對象,從而發起「Cookie劫持」攻擊。說的直白點,如果你的 Cookie 中保存過一些登陸憑證,攻擊者就可以不通過密碼,直接進入你的用戶。
除了剛剛舉例的「Cookie劫持」外,XSS 漏洞還常被用于發動惡意軟件傳播(蠕蟲攻擊),會話劫持、惡意重定向等。它破壞力強大,且產生的情景復雜,很難快速修補。所以,如何快速的防御各類 XSS 攻擊,是一個亟需解決的問題。
RASP 為網站安全「保駕護航」
RASP(Runtime application self-protection)是一種新型應用安全保護技術,它將保護程序想疫苗一樣注入到應用程序和應用程序融為一體,能實時檢測和阻斷安全攻擊,使應用程序具備自我保護能力,當應用程序遇到特定漏洞和攻擊時不需要人工干預就可以進行自動重新配置應對新的攻擊。
RASP 的工作原理如下圖所示,這種安全策略在可疑行為進入應用程序時并不攔截,而是先對其進行標記,在輸出時再檢查是否為危險行為,所以能夠大大減少誤報和漏報的概率。
RASP 也是目前業界已知的對 SQL 注入防護最高的一種手段,而且識別率非常高,它能夠有效地解決電商網站的數據安全和泄露問題。
比如像 XSS 這種攻擊,在RASP面前就不值一提。RASP 定制了針對 XSS 攻擊的規則集和防護類,然后采用 Java 字節碼技術,在被保護的類被加載進虛擬機之前,根據規則對被保護的類進行修改,將防護類織入到到被保護的類中。所以在RASP能夠非常有效地抵御 XSS 這種攻擊。
OneRASP(實時應用自我保護)是一種基于云的應用程序自我保護服務, 可以為軟件產品提供實時保護,使其免受漏洞所累。
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/64751.html
摘要:擴展這位老兄的答案中附上了一個非常狂野的方法這段代碼可以創建出一個長度為的全數組。創建全數組測試看來有時候優雅的方法不一定是最好的啊 問題 乍看之下,創建全0數組應該是一件不能再簡單的事情了: var arr = [0,0,0,0,0,0]; 然而有時候需要創建出長度比較長的全0數組(比如做桶排序時就需要),這種字面聲明可能就不太適合,因為不可能手打出幾萬個0。所以今天創建全0數組的時...
摘要:前端日報精選十問幫你理清前端工程師及大前端團隊的成長問題譯讀完細則之后學到的件事掘金怎么寫一個組件庫一眾成翻譯還有這操作一個能生成思維導圖的開源搜索引擎知乎專欄中文前端推薦第天值得收藏的基礎教程知乎專欄第期沒有的一天轉載中回調地 2017-06-15 前端日報 精選 十問sofish:幫你理清前端工程師及大前端團隊的成長問題![譯] 讀完 flexbox 細則之后學到的 11 件事 -...
摘要:可以通過命令,輕松實現使用生成隨機數據,將生成的數據寫入硬盤中,相當于安全的擦除了硬盤數據。因此對于類似情況,的值就會大于其它兩項之和。快速清空文件的方法快速清空一個文件,有 N 種方法,我比較喜歡下邊這種,因為它最短$ > access.log不過癮?好吧,我也順便總結下,其它幾種最常見的清空文件的方法: > access.log true > access.log cat /dev/nu...
摘要:,曾經與微軟一樣是難以撼動的龍頭,其一直稱雄盤踞界,根本無法與它分庭抗禮,甚至在服務器超頻等領域,也是神一般的存在。為入門級,為普通家用,為高性能。Intel,曾經與微軟一樣是難以撼動的龍頭,其一直稱雄盤踞PC界,AMD根本無法與它分庭抗禮,甚至在服務器、超頻等領域,Intel也是神一般的存在。然而近些年,Intel口碑和銷量卻開始遭遇滑鐵盧,先是顯卡計劃出師未捷,后又面臨服務器的市場蛋糕又...
閱讀 3285·2021-11-24 09:39
閱讀 3866·2021-11-22 09:34
閱讀 4799·2021-08-11 11:17
閱讀 1060·2019-08-29 13:58
閱讀 2571·2019-08-28 18:18
閱讀 537·2019-08-26 12:24
閱讀 825·2019-08-26 12:14
閱讀 727·2019-08-26 11:58