亚洲国产AV一区二区三区久久_乱人妻中文字幕视频_91麻豆精品国产一级_精品国产欧美另类一区

您的當(dāng)前位置: 首頁(yè)>>營(yíng)山新聞中心>>行業(yè)資訊

Web服務(wù)器如何防止跨站點(diǎn)腳本(XSS)攻擊

瀏覽量(88273) 時(shí)間:2020-09-09

     在最近兩次針對(duì)航空公司和一家大型電子商務(wù)票務(wù)公司的網(wǎng)絡(luò)攻擊中,成千上萬(wàn)的客戶通過(guò)稱(chēng)為跨站點(diǎn)腳本(XSS)的惡意策略破壞了他們的個(gè)人和財(cái)務(wù)數(shù)據(jù)。

XSS并不是新事物,但是其影響力和可見(jiàn)性都在增長(zhǎng)。最近最著名的例子是Magecart,該組織與上面提到的兩種攻擊都有聯(lián)系。Web應(yīng)用程序是數(shù)據(jù)泄露漏洞的關(guān)鍵點(diǎn)。這是您需要保護(hù)它們免受XSS攻擊的知識(shí)。


什么是跨站點(diǎn)腳本(XSS),為什么問(wèn)題變得越來(lái)越嚴(yán)重?

XSS攻擊涉及攻擊者將惡意腳本注入網(wǎng)頁(yè)或應(yīng)用程序。當(dāng)受害者訪問(wèn)頁(yè)面或應(yīng)用程序時(shí),將執(zhí)行代碼。例如,Magecart插入腳本,當(dāng)用戶進(jìn)行購(gòu)買(mǎi)時(shí)會(huì)跳過(guò)支付卡數(shù)據(jù)。

事實(shí)是,保護(hù)網(wǎng)站并不像以前那樣簡(jiǎn)單。Web應(yīng)用程序由于其復(fù)雜性和監(jiān)視難度而越來(lái)越受到關(guān)注。組織現(xiàn)在可以為他們的Web和移動(dòng)訪問(wèn)者提供跨多種設(shè)備的豐富,多樣且交互式的體驗(yàn),這是非常棒的,但是這種能力使IT安全團(tuán)隊(duì)的工作變得更加復(fù)雜。鎖定營(yíng)山服務(wù)器已足夠的日子已經(jīng)一去不復(fù)返了?,F(xiàn)在,您還必須注意瀏覽器,Web和移動(dòng)應(yīng)用程序及其所有組件。

阻止XSS攻擊的主要方法有兩種,但每種方法都有其自身的挑戰(zhàn)和缺點(diǎn)。

   1 通過(guò)過(guò)濾和衛(wèi)生措施防止XSS攻擊

    過(guò)濾的目的是首先防止惡意腳本進(jìn)入網(wǎng)站。由于惡意代碼來(lái)自客戶端來(lái)源,例如用戶提交的表單或受感染的Cookie,因此您需要通過(guò)過(guò)濾器傳遞所有外部數(shù)據(jù)。簡(jiǎn)單吧?不幸的是,過(guò)濾確實(shí)有一些障礙。

    隨著Web應(yīng)用程序變得越來(lái)越復(fù)雜,它們?cè)絹?lái)越依賴第三方組件,而這些組件通常最容易受到攻擊。對(duì)于售票公司的黑客攻擊,惡意JavaScript已注入第三方組件。盡管公司對(duì)這些組件的要求越來(lái)越嚴(yán)格,但他們?nèi)栽谂^(guò)濾所有組件。而且,如果您的Web應(yīng)用程序安全性工作發(fā)現(xiàn)了漏洞,那么很難讓第三方進(jìn)行修復(fù)。

    如果您的網(wǎng)站包含用戶提交的內(nèi)容,例如評(píng)論,評(píng)論,個(gè)人資料或產(chǎn)品說(shuō)明,那么過(guò)濾將是一個(gè)挑戰(zhàn)。例如,另一個(gè)電子商務(wù)組織經(jīng)常遭受小規(guī)模XSS攻擊,因?yàn)樗试S用戶發(fā)布包含JavaScript的復(fù)雜描述。在成千上萬(wàn)的用戶提交信息的情況下,幾乎不可能完全使用過(guò)濾進(jìn)行清理。

    最后,過(guò)濾通常需要一組人員來(lái)處理繁重的工作量。當(dāng)您的人力資源不多時(shí),可能無(wú)法手動(dòng)維護(hù)過(guò)濾器。


    2.使用內(nèi)容安全策略防止XSS攻擊

    內(nèi)容安全策略(CSP)涉及使用HTTP標(biāo)頭將Web應(yīng)用程序?qū)⑿湃蔚脑戳腥氚酌麊?。所有其他人將被阻止。CSP在防止XSS攻擊方面非常有效,但是與過(guò)濾和衛(wèi)生措施一樣,實(shí)現(xiàn)和維護(hù)CSP也有其缺點(diǎn)。

    CSP的第一個(gè)問(wèn)題是,它假定您的Web應(yīng)用程序是靜態(tài)的,而實(shí)際上它們?cè)诓粩嘧兓?。如果您使用CSP并沒(méi)有為新的源或依賴項(xiàng)更新它,則您的站點(diǎn)將崩潰。除了動(dòng)態(tài)之外,您的網(wǎng)站也很復(fù)雜。當(dāng)您曾經(jīng)使用瀏覽器與一臺(tái)營(yíng)山服務(wù)器通信時(shí),大多數(shù)站點(diǎn)現(xiàn)在都包括分析,廣告,監(jiān)視和其他第三方組件。您將獲得一些非常復(fù)雜的CSP標(biāo)頭。

    因此,由誰(shuí)負(fù)責(zé)確保您的CSP可以防止每一次新的XSS攻擊而不會(huì)使您的站點(diǎn)崩潰?開(kāi)發(fā)人員的艱巨任務(wù)是弄清網(wǎng)站訪問(wèn)的每個(gè)資源,并手動(dòng)配置CSP以使其使用。對(duì)于一個(gè)沒(méi)有經(jīng)驗(yàn)的團(tuán)隊(duì)成員,他們可能根本不具備實(shí)施CSP的技能,因?yàn)榧词故亲詈玫拈_(kāi)發(fā)人員也可能會(huì)發(fā)現(xiàn)CSP 容易出錯(cuò)并且難以維護(hù)。

    此外,那些為網(wǎng)站編寫(xiě)代碼的開(kāi)發(fā)人員可能不會(huì)是管理它們的人。這些人可能不了解所有依賴關(guān)系,因此最終可能會(huì)破壞網(wǎng)站。如果您有第三方開(kāi)發(fā)其他解決方案,則很難獲得對(duì)依賴關(guān)系的了解。

    CSP乍一看具有挑戰(zhàn)性。但是,有了正確的解決方案,它可以變得更加容易。關(guān)鍵是利用CSP的報(bào)告機(jī)制來(lái)促進(jìn)開(kāi)發(fā)人員和安全工程師之間的通信。利用數(shù)據(jù),可以在舞臺(tái)環(huán)境中優(yōu)化CSP,以便在部署時(shí),該應(yīng)用程序具有更新的CSP。在更新CSP并將新更新部署到生產(chǎn)之前,在團(tuán)隊(duì)之間完全透明的情況下,可能會(huì)討論應(yīng)用程序可以使用哪些資源。讓我們談?wù)勀梢宰鲂┦裁础?br/>    通過(guò)可見(jiàn)性和靈活性防止XSS攻擊

    要找到問(wèn)題,您必須在正確的位置尋找它。這需要深入了解該應(yīng)用程序的實(shí)際操作及其潛在的攻擊點(diǎn)。了解每個(gè)應(yīng)用程序的組件,它們的狀態(tài)以及它們?nèi)绾瓮ㄐ牛⒈O(jiān)視該應(yīng)用程序正在訪問(wèn)的數(shù)據(jù)。

    為了有效地使用CSP,必須進(jìn)行數(shù)據(jù)驅(qū)動(dòng)。tCell是我們的云WAF和RASP工具,可與CSP無(wú)縫集成,以收集應(yīng)用程序行為,并使用該數(shù)據(jù)來(lái)建議您單擊幾下即可創(chuàng)建的策略。此外,建議的策略更新為開(kāi)發(fā)和安全團(tuán)隊(duì)提供了一種很好的方式來(lái)討論第三方依賴項(xiàng)中的風(fēng)險(xiǎn),并對(duì)收益與風(fēng)險(xiǎn)保持一致的看法。這不僅提供了優(yōu)雅的技術(shù)解決方案,而且tCell可以在協(xié)作安全文化中有所幫助,這對(duì)于任何重視安全性的公司而言都是至關(guān)重要的。您的應(yīng)用程序安全解決方案應(yīng)能夠與應(yīng)用程序生態(tài)系統(tǒng)中的變化和創(chuàng)新保持同步。

    有些解決方案可以幫助您保持應(yīng)用程序和動(dòng)態(tài)策略的透明度。在Insight平臺(tái)上,Rapid7的tCell增強(qiáng)了Web應(yīng)用程序在從瀏覽器到營(yíng)山服務(wù)器的各個(gè)級(jí)別的安全性。tCell提供了一個(gè)基于Web的解決方案,使您可以自動(dòng)獲取應(yīng)用程序使用的所有Web資源的實(shí)時(shí)可見(jiàn)性,而無(wú)需編寫(xiě)代碼。此外,tCell允許您創(chuàng)建細(xì)粒度的阻止規(guī)則,以禁止來(lái)自高級(jí)配置用戶界面的不可信資源,而無(wú)需手動(dòng)編輯HTTP標(biāo)頭。

   以上文章來(lái)源于網(wǎng)絡(luò),如有侵權(quán)請(qǐng)聯(lián)系創(chuàng)一網(wǎng)的客服處理。謝謝!
最新文章