资讯专栏INFORMATION COLUMN

XSS 攻击在它的面前都弱爆了!

paney129 / 686人阅读

摘要:虽然双十一刚刚过去不久,但是对很多工程师来说,连续熬夜加班的噩梦似乎还没有过去。尤其是像双十一这种活动,对于电商网站的工程师们来说,他们需要彻夜的加班加点来保障网站的稳定性和安全性。比如像这种攻击,在面前就不值一提。

虽然双十一刚刚过去不久,但是对很多工程师来说,连续熬夜加班的「噩梦」似乎还没有过去。尤其是像双十一这种活动,对于电商网站的工程师们来说,他们需要彻夜的加班加点来保障网站的稳定性和安全性。当然,面对上千亿的销售额,更是让所有的电商平台工程师们,对安全问题不敢有任何一丝丝的怠慢。

XSS:成为网站安全的「头号」大敌

跨站脚本攻击(XSS)是客户端脚本安全中的头号大敌,曾多次位于 OWASP TOP 10 威胁的榜首。安全研究人员在大部分最受欢迎的网站,包括 Google、Facebook、 Amazon、 PayPal 等,都发现这个漏洞的存在。这些漏洞的存在,让黑客可以通过「HTML注入」篡改网页,从而插入恶意的脚本,在用户浏览网页时,控制用户浏览器。

举个例子,可以让大家从攻击的角度体验一下 XSS 的威力。通过 XSS 攻击成功后,攻击者能够在你的浏览器中植入恶意的脚本,如 JavaScript、Flash 等。这类脚本往往可以读取浏览器的 Cookie 对象,从而发起「Cookie劫持」攻击。说的直白点,如果你的 Cookie 中保存过一些登陆凭证,攻击者就可以不通过密码,直接进入你的用户。

除了刚刚举例的「Cookie劫持」外,XSS 漏洞还常被用于发动恶意软件传播(蠕虫攻击),会话劫持、恶意重定向等。它破坏力强大,且产生的情景复杂,很难快速修补。所以,如何快速的防御各类 XSS 攻击,是一个亟需解决的问题。

RASP 为网站安全「保驾护航」

RASP(Runtime application self-protection)是一种新型应用安全保护技术,它将保护程序想疫苗一样注入到应用程序和应用程序融为一体,能实时检测和阻断安全攻击,使应用程序具备自我保护能力,当应用程序遇到特定漏洞和攻击时不需要人工干预就可以进行自动重新配置应对新的攻击。

RASP 的工作原理如下图所示,这种安全策略在可疑行为进入应用程序时并不拦截,而是先对其进行标记,在输出时再检查是否为危险行为,所以能够大大减少误报和漏报的概率。

RASP 也是目前业界已知的对 SQL 注入防护最高的一种手段,而且识别率非常高,它能够有效地解决电商网站的数据安全和泄露问题。

比如像 XSS 这种攻击,在RASP面前就不值一提。RASP 定制了针对 XSS 攻击的规则集和防护类,然后采用 Java 字节码技术,在被保护的类被加载进虚拟机之前,根据规则对被保护的类进行修改,将防护类织入到到被保护的类中。所以在RASP能够非常有效地抵御 XSS 这种攻击。

OneRASP(实时应用自我保护)是一种基于云的应用程序自我保护服务, 可以为软件产品提供实时保护,使其免受漏洞所累。

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/64751.html

相关文章

  • 创建全0数组(Zero filled array creation)

    摘要:扩展这位老兄的答案中附上了一个非常狂野的方法这段代码可以创建出一个长度为的全数组。创建全数组测试看来有时候优雅的方法不一定是最好的啊 问题 乍看之下,创建全0数组应该是一件不能再简单的事情了: var arr = [0,0,0,0,0,0]; 然而有时候需要创建出长度比较长的全0数组(比如做桶排序时就需要),这种字面声明可能就不太适合,因为不可能手打出几万个0。所以今天创建全0数组的时...

    Rindia 评论0 收藏0
  • 2017-06-15 前端日报

    摘要:前端日报精选十问帮你理清前端工程师及大前端团队的成长问题译读完细则之后学到的件事掘金怎么写一个组件库一众成翻译还有这操作一个能生成思维导图的开源搜索引擎知乎专栏中文前端推荐第天值得收藏的基础教程知乎专栏第期没有的一天转载中回调地 2017-06-15 前端日报 精选 十问sofish:帮你理清前端工程师及大前端团队的成长问题![译] 读完 flexbox 细则之后学到的 11 件事 -...

    Benedict Evans 评论0 收藏0
  • 15 个 Linux 实用技巧

    摘要:可以通过命令,轻松实现使用生成随机数据,将生成的数据写入硬盘中,相当于安全的擦除了硬盘数据。因此对于类似情况,的值就会大于其它两项之和。快速清空文件的方法快速清空一个文件,有 N 种方法,我比较喜欢下边这种,因为它最短$ > access.log不过瘾?好吧,我也顺便总结下,其它几种最常见的清空文件的方法: > access.log true > access.log cat /dev/nu...

    Tecode 评论0 收藏0
  • Intel渐入迟暮疲态 诺基亚的“英雄末路”是否会在它身上重现?

    摘要:,曾经与微软一样是难以撼动的龙头,其一直称雄盘踞界,根本无法与它分庭抗礼,甚至在服务器超频等领域,也是神一般的存在。为入门级,为普通家用,为高性能。Intel,曾经与微软一样是难以撼动的龙头,其一直称雄盘踞PC界,AMD根本无法与它分庭抗礼,甚至在服务器、超频等领域,Intel也是神一般的存在。然而近些年,Intel口碑和销量却开始遭遇滑铁卢,先是显卡计划出师未捷,后又面临服务器的市场蛋糕又...

    imccl 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<