开发者社区> oneapm_official> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

矛与盾——扫描器盲打对主动安全防护的启示

简介:
+关注继续查看

笔者在最近与一家安全扫描器厂商的合作中听到了「盲打」这个概念,当时就很好奇,这是个新的安全攻击方式吗?

对方的工程师给了笔者解答,他们的扫描器可以发起经过特殊配置的攻击请求,使得含有被攻击漏洞的服务器 A 执行请求中配置的命令,回连到提前设置好的一台服务器 B 上。这样,通过服务器B的连接纪录就可以知道服务器 A 是否含有特定的漏洞,典型的有非法命令执行和存储型 XSS 这两大类。当然,这种检测方式对于其他不存在命令执行过程的漏洞则无能为力了。

盲打这个词不仅出现在上述场景中,如果大家上网搜索「安全 盲打」这个关键词,得出的结果多数是「 XSS 盲打」,而这个概念和我刚刚解释的这个概念相似却不完全相同。网上的解释多是:准备好 JS 代码,见输入框就填!即尝试所有可以输入(注入)的地方,攻击能否成功靠运气。但凡哪个倒霉网站有个输入框没做过滤,就可能中招了!这是「被动型 XSS 盲打」。从这个角度看,扫描的盲打和攻击的盲打是一回事。只不过,由攻击触发的回连动作不会给被攻击者造成任何损失。

相比前面介绍的「被动型盲打」,另一种「主动型 XSS 盲打」,即攻击者知道网站采取数据的方式,而不知道数据展现的后台的情况下,通过主动提交具有真实攻击功能 XSS 代码给程序而触发的 XSS 盲打,要更具威胁一些。部分扫描器可以通过配置生成一些常见的恶意攻击,来达到发现漏洞的目的。

因此尽管扫描可以被看作是一种攻击,但目的不同,决定了结果不同。如果我是个设计扫描器的,扫描请求应该被设计成有攻击性而无害。但真实的扫描器是否如此设计就不得而知了。如果把扫描器比作一支矛,为了避免扫描器对业务逻辑潜在的「破坏」,主动的自我防护产品 RASP 可以充当一把盾挡在应用的前面,监视扫描器的一举一动,迎接扫描器的挑战!

为什么 RASP 可以做到这一点呢?

首先,RASP 产品自身具备监测非法命令执行和 XSS 注入这两类漏洞的能力(当然不限于这两类);其次,RASP 产品在监听到这两类攻击后会把详细信息呈现在管理视图里供运维人员甄别,从而采取适当措施——可以先配置 RASP 阻止此类恶意请求,然后让开发人员着手从容修复漏洞。

本文系 OneASP 质量架构工程师王新泉原创文章。如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。OneRASP 实时应用自我保护技术,可以为软件产品提供精准的实时保护,使其免受漏洞所累。想阅读更多技术文章,请访问 OneAPM 官方技术博客
本文转自 OneAPM 官方博客

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
保障业务安全,如何做到“未知攻,焉知防” 安全防护中的“未知攻,焉知防”是什么意思 “未知攻,焉知防”,业务安全的攻防之道
“未知攻,焉知防”,这句话后来被广泛应用到无数的安全产品和安全讲演场合。由此,也揭示出安全情报的重要性。
0 0
“撞库”成网络黑产源头 从技术和机制寻找解决之道
“撞库”成网络黑产源头 从技术和机制寻找解决之道
0 0
瑞星2009:3大拦截2大防御功能主动遏制木马病毒
  12月16日,“瑞星全功能安全软件2009”正式发布,它基于瑞星“云安全”技术开发,实现了彻底的互联网化,是一款超越了传统“杀毒软件”的划时代安全产品。该产品集“拦截、防御、查杀、保护”多重防护功能于一身,并将杀毒软件与防火墙的无缝集成为一个产品,实现两者间互相配合、整体联动,同时极大地降低了电脑资源占用。
979 0
病毒知多少,防御我最先,网络运维必知
  网络的日益普及也造就了病毒的泛滥成灾,比较著名的有AV终结者、下载者、灰鸽子……其实病毒也没大家想象中的那么可怕,只要对病毒有些了解,即使在中毒后也能采取相应的方法来解决问题,正所谓知己知彼百战百胜,其中的道理想必大家也都明白。中什么样的病毒,就采取相应的解决方法,再也不用毫无头绪,特别是那些学习黑客的新手朋友,在下载了一些黑客工具后,却不能快速、有效的识别出这些工具是否感染了病毒,是否捆绑了木马,因此导致了一些不必要的麻烦和误删除工具(因为大部分的黑客工具杀毒软件都会报毒的),使得想妥进行的步骤停滞或者停止。所以,对病毒的相关认识也是新手朋友们必须具备的一项基础技能,能够正确区分出哪些是
0 0
从数据包视角解析新型Struts2漏洞攻击全过程
本文讲的是从数据包视角解析新型Struts2漏洞攻击全过程,万年漏洞王 Struts2作为世界上最流行的 Java Web 服务器框架之一,已经被炒得沸沸扬扬,其原因是由于 Apache Struts2 的 Jakarta Multipart parser 插件存在远程代码执行漏洞,攻击者可以在使用该插件上传文件时,修改 HTTP 请求头中的 Content-Type 值来触发该漏洞,导致远程执行代码。
1425 0
【科普】你上网的隐私,由自动化规则守护
本文是一篇科普文,力求平实易懂。本文以TLS握手为中心,简单介绍了对称加密、非对称加密等内容
1361 0
+关注
oneapm_official
分享技术干货,解决性能问题,塑造品牌力量!
文章
问答
文章排行榜
最热
最新
相关电子书
更多
攻击过程的威胁情报应对体系
立即下载
改善弱网络-探索移动互联网下弱网络处理方式
立即下载
千里之外,洞悉风险——网站安全即服务
立即下载