XSS 攻击在它的面前都弱爆了!

原创 2015年11月19日 10:25:02

虽然双十一刚刚过去不久,但是对很多工程师来说,连续熬夜加班的「噩梦」似乎还没有过去。尤其是像双十一这种活动,对于电商网站的工程师们来说,他们需要彻夜的加班加点来保障网站的稳定性和安全性。当然,面对上千亿的销售额,更是让所有的电商平台工程师们,对安全问题不敢有任何一丝丝的怠慢。

XSS:成为网站安全的「头号」大敌

跨站脚本攻击(XSS)是客户端脚本安全中的头号大敌,曾多次位于 OWASP TOP 10 威胁的榜首。安全研究人员在大部分最受欢迎的网站,包括 Google、Facebook、 Amazon、 PayPal 等,都发现这个漏洞的存在。这些漏洞的存在,让黑客可以通过「HTML注入」篡改网页,从而插入恶意的脚本,在用户浏览网页时,控制用户浏览器。

XSS 攻击在它的面前都弱爆了!

举个例子,可以让大家从攻击的角度体验一下 XSS 的威力。通过 XSS 攻击成功后,攻击者能够在你的浏览器中植入恶意的脚本,如 JavaScript、Flash 等。这类脚本往往可以读取浏览器的 Cookie 对象,从而发起「Cookie劫持」攻击。说的直白点,如果你的 Cookie 中保存过一些登陆凭证,攻击者就可以不通过密码,直接进入你的用户。

除了刚刚举例的「Cookie劫持」外,XSS 漏洞还常被用于发动恶意软件传播(蠕虫攻击),会话劫持、恶意重定向等。它破坏力强大,且产生的情景复杂,很难快速修补。所以,如何快速的防御各类 XSS 攻击,是一个亟需解决的问题。

RASP 为网站安全「保驾护航」

RASP(Runtime application self-protection)是一种新型应用安全保护技术,它将保护程序想疫苗一样注入到应用程序和应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具备自我保护能力,当应用程序遇到特定漏洞和攻击时不需要人工干预就可以进行自动重新配置应对新的攻击。

RASP 的工作原理如下图所示,这种安全策略在可疑行为进入应用程序时并不拦截,而是先对其进行标记,在输出时再检查是否为危险行为,所以能够大大减少误报和漏报的概率。

XSS 攻击在它的面前都弱爆了!

RASP 也是目前业界已知的对 SQL 注入防护最高的一种手段,而且识别率非常高,它能够有效地解决电商网站的数据安全和泄露问题。

比如像 XSS 这种攻击,在RASP面前就不值一提。RASP 定制了针对 XSS 攻击的规则集和防护类,然后采用 Java 字节码技术,在被保护的类被加载进虚拟机之前,根据规则对被保护的类进行修改,将防护类织入到到被保护的类中。所以在RASP能够非常有效地抵御 XSS 这种攻击。

OneRASP(实时应用自我保护)是一种基于云的应用程序自我保护服务, 可以为软件产品提供实时保护,使其免受漏洞所累。

版权声明:本文为博主原创文章,未经博主允许不得转载。

相关文章推荐

在技術(宅)面前,什麼帳號密碼簡直弱爆了(转)

--------------------以下文字不負責任轉載-------------------from iGFW by iGFW      今天在 greader 上看到这么一篇,用 DNS 隧道...

XSS - 攻擊與防禦手冊.pdf

  • 2011-10-13 08:48
  • 660KB
  • 下载

防御 XSS 攻击的七条原则

前言本文将会着重介绍防御XSS攻击的一些原则,需要读者对于XSS有所了解,至少知道XSS漏洞的基本原理,如果您对此不是特别清楚,请参考这两篇文章:《Stored and Reflected XSS ...

XSS 跨站脚本攻击及防范

  • 2008-11-13 17:16
  • 138KB
  • 下载

使用Jsoup消除不受信任的HTML (来防止XSS攻击)

博客分类:  网络安全     问题--XSS攻击 在做网站的时候,经常会提供用户评论的功能。有些不怀好意的用户,会搞一些脚本到评论内容中,而这些脚本可能会破坏整个页面的行为,更严重的是...

XSS跨站脚本攻击及防范

  • 2016-02-03 15:13
  • 138KB
  • 下载

xss攻击汇总

(1)普通的XSS JavaScript注入 (2)IMG标签XSS使用JavaScript命令 (3)IMG标签无分号无引号 (4)IMG标签大小写不敏感 (5)HTML编码...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:深度学习:神经网络中的前向传播和反向传播算法推导
举报原因:
原因补充:

(最多只允许输入30个字)