矛与盾——扫描器盲打对主动安全防护的启示
笔者在最近与一家安全扫描器厂商的合作中听到了「盲打」这个概念,当时就很好奇,这是个新的安全攻击方式吗?
对方的工程师给了笔者解答,他们的扫描器可以发起经过特殊配置的攻击请求,使得含有被攻击漏洞的服务器 A 执行请求中配置的命令,回连到提前设置好的一台服务器 B 上。这样,通过服务器B的连接纪录就可以知道服务器 A 是否含有特定的漏洞,典型的有非法命令执行和存储型 XSS 这两大类。当然,这种检测方式对于其他不存在命令执行过程的漏洞则无能为力了。
盲打这个词不仅出现在上述场景中,如果大家上网搜索「安全 盲打」这个关键词,得出的结果多数是「 XSS 盲打」,而这个概念和我刚刚解释的这个概念相似却不完全相同。网上的解释多是:准备好 JS 代码,见输入框就填!即尝试所有可以输入(注入)的地方,攻击能否成功靠运气。但凡哪个倒霉网站有个输入框没做过滤,就可能中招了!这是「被动型 XSS 盲打」。从这个角度看,扫描的盲打和攻击的盲打是一回事。只不过,由攻击触发的回连动作不会给被攻击者造成任何损失。
相比前面介绍的「被动型盲打」,另一种「主动型 XSS 盲打」,即攻击者知道网站采取数据的方式,而不知道数据展现的后台的情况下,通过主动提交具有真实攻击功能 XSS 代码给程序而触发的 XSS 盲打,要更具威胁一些。部分扫描器可以通过配置生成一些常见的恶意攻击,来达到发现漏洞的目的。
因此尽管扫描可以被看作是一种攻击,但目的不同,决定了结果不同。如果我是个设计扫描器的,扫描请求应该被设计成有攻击性而无害。但真实的扫描器是否如此设计就不得而知了。如果把扫描器比作一支矛,为了避免扫描器对业务逻辑潜在的「破坏」,主动的自我防护产品 RASP 可以充当一把盾挡在应用的前面,监视扫描器的一举一动,迎接扫描器的挑战!
为什么 RASP 可以做到这一点呢?
首先,RASP 产品自身具备监测非法命令执行和 XSS 注入这两类漏洞的能力(当然不限于这两类);其次,RASP 产品在监听到这两类攻击后会把详细信息呈现在管理视图里供运维人员甄别,从而采取适当措施——可以先配置 RASP 阻止此类恶意请求,然后让开发人员着手从容修复漏洞。
本文系 OneASP 质量架构工程师王新泉原创文章。如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。OneRASP 实时应用自我保护技术,可以为软件产品提供精准的实时保护,使其免受漏洞所累。想技术文章,请访问 OneAPM 官方技术博客
本文转自 OneAPM 官方博客
转载于:https://www.cnblogs.com/oneapm/p/5109093.html
矛与盾——扫描器盲打对主动安全防护的启示相关推荐
- 智能的纠缠:意与理,矛与盾
在人工智能应用如雨后春笋般涌现之后,我们还是需要静下心来,对人工智能的发展之路进行深入地思考.智能与数理逻辑,智能与哲学,以及智能发展中的伦理问题,都是我们需要思考的问题. 一.智能与逻辑 若人是默会 ...
- 【PhD Debate —11】矛与盾的对决——神经网络后门攻防
点击蓝字 关注我们 AI TIME欢迎每一位AI爱好者的加入! 2022年7月9日,AI TIME组织了Ph.D. Debate第十一期,题为"矛与盾的对决--神经网络后门攻防"的 ...
- 【Mo&AI TIME 人工智能技术博客】矛与盾的对决——神经网络后门攻防
本篇文章内容转载于"AI TIME论道"公众号,秉持着合作共享的信念,希望给热爱人工智能的你们,提供更全面.前沿的人工智能和学科发展资讯. 2022年7月9日,AI TIME组织了 ...
- 矛与盾的较量-南美洲巅峰对决
2009年9月6日清晨8:30分,南美世界杯预选赛区进行了一场超重量级对决,阿根廷主场对阵巴西. 在此前的预选赛中,阿根廷仅排在南美区第4,能否晋级世界杯决赛圈已经有些岌岌可危.因此这场比赛阿根廷必须 ...
- 论述word加密与破解的“矛”与“盾”!
Word被加密锁定保护,不知道密码,如何破解对其重新编辑,10秒解决这类问题! 从网上下载了被加密后的文档,想对其修改编辑,却出现了一串难题.例如文档看到一半,鼠标一定位又跑到开头第一页,让人抓狂:后 ...
- 昂楷科技CEO容众财经对话实录 | 智能化时代,如何平衡数据安全的矛与盾?
数据安全是近年来网络安全领域中的热门赛道,无论是从国家政策层面的数字治理,还是企业面临的数字化转型进程,整个社会都高度重视数字经济的发展.而无论是企业还是个人都面临着数据泄露和数据滥用的问题,数据安全 ...
- 瑞数信息加入UOS主动安全防护计划(UAPP),构筑可信可控的数字安全屏障
近日,由统信软件与龙芯中科联合主办,电子工业出版社华信研究院与北京信息化协会信息技术应用创新工作委员会支持的"2023通明湖论坛信息技术基础底座创新发展分论坛"在北京正式举办. 会 ...
- 微软北大联合提出换脸 AI 和脸部伪造检测器,演绎现实版「矛与盾」?
2020-01-07 18:28 导语:一个致力于造假,一个专注于打假 雷锋网 AI 开发者按:近日,微软研究院与北京大学的研究小组共同提出了一种全新的 AI 换脸框架 FaceShifter,以及一 ...
- 微软北大联合提出换脸AI和脸部伪造检测器,演绎现实版「矛与盾」?
转载 | AI科技评论 作者 | 杨鲤萍 编辑 | 丛末 近日,微软研究院与北京大学的研究小组共同提出了一种全新的 AI 换脸框架 FaceShifter,以及一种检测伪造人脸图像的方法 FaceX ...
最新文章
- usaco Big Barn
- 精简的shell计算器
- 信号回勾产生的原因_电力电缆故障原因及常用检测方法
- ubuntu安装搜狗输入法-全面版
- 【机器视觉】 dev_map_prog算子
- MySQL 高级 游标基本操作
- HttpRequest 类
- ubuntu自定义菜单_如何自定义Ubuntu的每日消息
- 两个excel文档查找相同选项后替换_看似普通的查找和替换功能,用好了,能让你的工作效率翻一番...
- 安装ipfs-http-client出现constants@0.1.2 install: node build.js > index.browser.js错误的解决办法
- mac地址扫描源码_ARP-基础-扫描-攻击-防范!
- 面试题 | ISP 图像处理算法工程师
- PAT日志 1147 Heaps
- 2020华为外包机试题目
- 虚拟机安装ubuntu server及工作环境搭建
- nacos做配置中心读取不到配置报错:Caused by: java.lang.IllegalArgumentException: Could not resolve placeholder ‘cou
- usaco-5.1-fc-passed
- IOS status bar
- PsTools远程执行Windows命令
- JeecgBoot低代码平台 3.5.2,仪表盘版本发布!重磅新功能—支持在线拖拽设计大屏和门户