|  首页  |  资讯  |  评测  |  活动  |  学院  |  访谈  |  专题  |  杂志  |  产服  |  
您现在的位置:硅谷网> 资讯> 软件>

双十二!OneRASP 让「黑客」不再成「顾客」

2015-12-08 17:54 作者:www.guigu.org 来源:天极网 HV: 编辑:何睿 【搜索试试

双十一」的硝烟还未散尽,「双十二」大战即将拉开序幕!看得见的销售数字让人血脉喷张,而在这背后,还有一场比拼安全技术、用户体验的「暗战」。在电商这个生态圈,没有硝烟的战争早就上演了。

在一个完美的模型中,开发人员的开发生命周期 ( SDLC ) 应当符合安全防护标准,从而开发出安全的软件。但在如今的信息社会里,IT 技术日新月异,新的高级安全攻击层出不穷,攻击方式变得越来越隐蔽和致命,同时为适应新的业务需求和技术革新,迭代开发和快速部署越来越流行。

跨站脚本攻击(XSS)成客户端脚本安全中的头号大敌

XSS 曾多次位居 OWASP TOP 10 威胁的榜首,安全研究人员在很多最受欢迎的网站,包括 Google、Facebook、 Amazon、PayPal 等,都发现了这个漏洞的存在。这些漏洞的存在,让黑客可以通过「 HTML注入」 篡改网页,从而插入恶意的脚本,在用户浏览网页时,控制用户浏览器。

RASP 让「黑客」不再成「顾客」

举个例子,可以让大家从攻击的角度体验一下 XSS 的威力。通过 XSS 攻击成功后,攻击者能够在你的浏览器中植入恶意的脚本,如 JavaScript、Flash 等。这类脚本往往可以读取浏览器的 Cookie 对象,从而发起「 Cookie 劫持」攻击,说的通俗点就是,如果你的 Cookie 中保存过一些登陆凭证,攻击者就可以不通过密码,直接进入你的用户。双十一期间有数千亿的消费产生,这对于所有的电商网站来说,都是不容小觑的威胁。

除了「 Cookie劫持」外,XSS 漏洞还常被用于发动恶意软件传播(蠕虫攻击),会话劫持,恶意重定向等。它破坏力强大,且产生的情景复杂,很难快速修补。所以,如何快速的防御各类 XSS 等应用层攻击,是一个亟需解决的问题。

面对此类应用安全风险,传统方式作用有限

应用程序安全测试 ( SAST / DAST / IAST ) 也是一种能够比较有效的防止安全漏洞进入生产环境工具,但即使最成熟的应用程序安全测试工具也不可能捕获所有漏洞。况且,找出漏洞只是第一步,只有修复所有漏洞才有意义。在大型项目里比如「双十一」和「双十二」这种大促,修复所有漏洞是所有程序员的噩梦,不仅需要花费大量的人力,同时也可能大大延迟开发和发布的进度。这是无法承受的代价。

现在网络层保护技术(如 NGFW、UTM、IPS、IDS 等)已经成为大部分企业的标准配置,一些应用层保护技术( WAF 等)也逐步得到应用。这些技术的确在一些场景下能够部分保护企业安全,但是在云时代网络边界越来越模糊,很多情况下企业都不清楚应用程序具体部署在什么地方,同时黑客对防火墙技术已经非常熟悉,翻墙技术也已经非常成熟。传统安全防护技术对于新一代威胁是无能为力的。

RASP 或成最优解决方案

RASP 工作在 Java 应用程序环境中,且是一种被证明有效的运行时应用程序自我保护技术。现有应用程序无需修改任何代码就可以在运行时进行自我保护,只针对关键保护区域进行扫描和保护,对 Java Web 系统性能影响极小。

比如像 XSS 这种攻击,在 RASP 面前就不值一提。RASP 定制了针对 XSS 攻击的规则集和防护类,然后采用 Java 字节码技术,在被保护的类被加载进虚拟机之前,根据规则对被保护的类进行修改,将防护类织入到被保护的类中。所以 RASP 能够非常有效地抵御 XSS 这种攻击。

RASP 让「黑客」不再成「顾客」

目前国内有一家在提供 RASP 的服务,OneASP能以最小代价并且快速解决上述难题,只需要非常简单的修改一下 JVM 的启动配置,就可以将运行。它能将攻击过程透明化,通过控制台可以非常清楚的知道系统什么时候、哪个模块、哪行代码遭受了哪种类型的攻击。同时还能够快速修复漏洞,只要将 OneRASP 和应用程序部署在一起就可以快速修复已知漏洞,不需要漫长的扫描 - 修复 - 扫描的过程。通过实时升级系统快速同步最新漏洞,避免零日攻击。

当然,只有OneRASP也并非万无一失,最优的解决方案是将 OneRASP 和网络安全解决方案、应用安全扫描与测试等安全防护系统结合起来,形成多层次立体的防御体系。如今各种攻击手段层出不穷,单靠其中任一技术来防范应用程序的安全是不科学的。但 OneRASP 永远是应用程序安全保护的最后一道无法逾越的壕沟,它可以帮你快速提升应用程序的安全级别,你再也不用担忧没有合格的安全工程师了。当然也确保你的企业不会作为下一个安全受害者登上头条。

OneRASP(实时应用自我保护)是一种基于云的应用程序自我保护服务, 可以为软件产品提供实时保护,使其免受漏洞所累。

【对“双十二!OneRASP 让「黑客」不再成「顾客」”发布评论】

版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
广告
相关
·谷歌坐视不理Chromecast漏洞多年 现被黑客利用
·苹果浏览器BUG:正规网址或是黑客篡改的李鬼网页
·Parasoft受邀参加第十二届金融科技创新峰会
·OneRASP:帮中小型创业公司做好安全防护
·第十二届中国软件工程大会在北京成功召开
·观察:黑客充值4毛变6万IT支付系统漏洞需重视
·腾讯安全提醒:厨子逆天变黑客盗刷20万巨款
·外媒:俄黑客利用Windows系统漏洞展开间谍活动
头条
“魔搜”软件开发者张某被判刑1年2个月缓刑1年10个月 “魔搜”软件开发者张某被判刑1年2个月缓刑1
一个取名魔搜的软件篡改消费者在电商平台的购物浏览记录,企图通过数据造假制造爆款。……
·“魔搜”软件开发者张某被判刑1年2个月缓刑1
·45款应用程序遭谷歌下架 猎豹移动股价惨跌16.
·腾讯会议一星好评,如何占得线上视频会议市场
·高仿APP捞钱套路:蹭官方、发广告、索取隐私
·报告称APP的支出和使用率在2019年达到创纪录
图文
“远程办公”战线拉长,如何确保“私有化”办公?
“远程办公”战线拉长,如何确保“私有化”
友盟+智能认证:用户增长始于头,体验提升只需1.3秒
友盟+智能认证:用户增长始于头,体验提升
知米背单词APP那些不为人知的小细节(图)
知米背单词APP那些不为人知的小细节(图)
Realme引入广告什么情况 Realme广告怎么设置关闭?
Realme引入广告什么情况 Realme广告怎么设
最新
·“远程办公”战线拉长,如何确保“私有化”办公?
·友盟+智能认证:用户增长始于头,体验提升只需1.3
·“魔搜”软件开发者张某被判刑1年2个月缓刑1年10
·字节跳动称旗下办公产品飞书被微信全面封禁
·疫情下的危机,如何通过“信源豆豆”实现企业安全
热点
·群控、云控时代即将终结,智控时代已到来
·106短信群发平台APP,致力于成为领域内佼佼者
·DT小听App:防偷拍,还是用这款国产app(图)
·软件技术行业发展变化非常快,软件人才要按需
·嗨学网一级消防可靠吗?新手妈妈亲生经历告诉
旧闻
·社会“抢票软件”存隐患随时有可能被屏蔽
·全国多地上线电子社保卡 微信10秒即可申领
·漂亮有创意的思维导图怎么画?办公也有小技巧
·喜推人工智能名片:看懂客户心,销售才能更欢
·微软发布2013年首批补丁 暂未修复IE漏洞
广告
硅谷影像
“远程办公”战线拉长,如何确保“私有化”办公?
“远程办公”战线拉长,如何确保“私有化”办公?
友盟+智能认证:用户增长始于头,体验提升只需1.3秒
友盟+智能认证:用户增长始于头,体验提升只需1.3
“魔搜”软件开发者张某被判刑1年2个月缓刑1年10个月
“魔搜”软件开发者张某被判刑1年2个月缓刑1年10
打响“科技防疫战” 中软国际解放号在行动
打响“科技防疫战” 中软国际解放号在行动
钉钉5.0新增在线办公室、圈子,满足用户个性化需求
钉钉5.0新增在线办公室、圈子,满足用户个性化需
钉钉5.0产品见面会 彩蛋Real如我曝光号召无压力分享
钉钉5.0产品见面会 彩蛋Real如我曝光号召无压力分
关于我们·About | 联系我们·contact | 加入我们·Join | 关注我们·Invest | Site Map | Tags | RSS Map
电脑版·PC版 移动版·MD版 网站热线:(+86)010-57255600
Copyright © 2007-2020 硅谷网. 版权所有. All Rights Reserved. <京ICP备12003855号-2>