开发者社区> oneapm_official> 正文

矛与盾——扫描器盲打对主动安全防护的启示

简介:
+关注继续查看

笔者在最近与一家安全扫描器厂商的合作中听到了「盲打」这个概念,当时就很好奇,这是个新的安全攻击方式吗?

对方的工程师给了笔者解答,他们的扫描器可以发起经过特殊配置的攻击请求,使得含有被攻击漏洞的服务器 A 执行请求中配置的命令,回连到提前设置好的一台服务器 B 上。这样,通过服务器B的连接纪录就可以知道服务器 A 是否含有特定的漏洞,典型的有非法命令执行和存储型 XSS 这两大类。当然,这种检测方式对于其他不存在命令执行过程的漏洞则无能为力了。

盲打这个词不仅出现在上述场景中,如果大家上网搜索「安全 盲打」这个关键词,得出的结果多数是「 XSS 盲打」,而这个概念和我刚刚解释的这个概念相似却不完全相同。网上的解释多是:准备好 JS 代码,见输入框就填!即尝试所有可以输入(注入)的地方,攻击能否成功靠运气。但凡哪个倒霉网站有个输入框没做过滤,就可能中招了!这是「被动型 XSS 盲打」。从这个角度看,扫描的盲打和攻击的盲打是一回事。只不过,由攻击触发的回连动作不会给被攻击者造成任何损失。

相比前面介绍的「被动型盲打」,另一种「主动型 XSS 盲打」,即攻击者知道网站采取数据的方式,而不知道数据展现的后台的情况下,通过主动提交具有真实攻击功能 XSS 代码给程序而触发的 XSS 盲打,要更具威胁一些。部分扫描器可以通过配置生成一些常见的恶意攻击,来达到发现漏洞的目的。

因此尽管扫描可以被看作是一种攻击,但目的不同,决定了结果不同。如果我是个设计扫描器的,扫描请求应该被设计成有攻击性而无害。但真实的扫描器是否如此设计就不得而知了。如果把扫描器比作一支矛,为了避免扫描器对业务逻辑潜在的「破坏」,主动的自我防护产品 RASP 可以充当一把盾挡在应用的前面,监视扫描器的一举一动,迎接扫描器的挑战!

为什么 RASP 可以做到这一点呢?

首先,RASP 产品自身具备监测非法命令执行和 XSS 注入这两类漏洞的能力(当然不限于这两类);其次,RASP 产品在监听到这两类攻击后会把详细信息呈现在管理视图里供运维人员甄别,从而采取适当措施——可以先配置 RASP 阻止此类恶意请求,然后让开发人员着手从容修复漏洞。

本文系 OneASP 质量架构工程师王新泉原创文章。如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。OneRASP 实时应用自我保护技术,可以为软件产品提供精准的实时保护,使其免受漏洞所累。想阅读更多技术文章,请访问 OneAPM 官方技术博客
本文转自 OneAPM 官方博客

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,大概有三种登录方式:
9644 0
2019阿里云智能校园招聘启动,云安全团队期待你的加入!
2019阿里云智能校园招聘启动啦!如果你是2019年11月到2020年10月之间的应届毕业生欢迎拿简历砸向我们哦~~与我们一起守护中国40%的网站与全球顶级黑客切磋较量与一群有情有义的人做一件有意义的事! 简历投递方式如下方图片,4月23日截止,时间有限,行动起来啦!
2200 0
快进键启动,一文带你了解云原生时代容器安全
分享阿里云容器安全的治理能力与经验,致力保护生产环境安全。
5785 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
13814 0
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
20322 0
+关注
oneapm_official
分享技术干货,解决性能问题,塑造品牌力量!
188
文章
2
问答
文章排行榜
最热
最新
相关电子书
更多
JS零基础入门教程(上册)
立即下载
性能优化方法论
立即下载
手把手学习日志服务SLS,云启实验室实战指南
立即下载