XSS 攻擊在它的面前都弱爆了！

雖然雙十一剛剛過去不久，可是對不少工程師來講，連續熬夜加班的「噩夢」彷佛尚未過去。尤爲是像雙十一這種活動，對於電商網站的工程師們來講，他們須要徹夜的加班加點來保障網站的穩定性和安全性。固然，面對上千億的銷售額，更是讓全部的電商平臺工程師們，對安全問題不敢有任何一絲絲的怠慢。

XSS：成爲網站安全的「頭號」大敵

跨站腳本攻擊（XSS）是客戶端腳本安全中的頭號大敵，曾屢次位於 OWASP TOP 10 威脅的榜首。安全研究人員在大部分最受歡迎的網站，包括 Google、Facebook、 Amazon、 PayPal 等，都發現這個漏洞的存在。這些漏洞的存在，讓黑客能夠經過「HTML注入」篡改網頁，從而插入惡意的腳本，在用戶瀏覽網頁時，控制用戶瀏覽器。

舉個例子，可讓你們從攻擊的角度體驗一下 XSS 的威力。經過 XSS 攻擊成功後，攻擊者可以在你的瀏覽器中植入惡意的腳本，如 JavaScript、Flash 等。這類腳本每每能夠讀取瀏覽器的 Cookie 對象，從而發起「Cookie劫持」攻擊。說的直白點，若是你的 Cookie 中保存過一些登錄憑證，攻擊者就能夠不經過密碼，直接進入你的用戶。

除了剛剛舉例的「Cookie劫持」外，XSS 漏洞還常被用於發動惡意軟件傳播(蠕蟲攻擊),會話劫持、惡意重定向等。它破壞力強大，且產生的情景複雜，很難快速修補。因此，如何快速的防護各種 XSS 攻擊，是一個亟需解決的問題。

RASP 爲網站安全「保駕護航」

RASP（Runtime application self-protection）是一種新型應用安全保護技術，它將保護程序想疫苗同樣注入到應用程序和應用程序融爲一體，能實時檢測和阻斷安全攻擊，使應用程序具有自我保護能力，當應用程序遇到特定漏洞和攻擊時不須要人工干預就能夠進行自動從新配置應對新的攻擊。

RASP 的工做原理以下圖所示，這種安全策略在可疑行爲進入應用程序時並不攔截，而是先對其進行標記，在輸出時再檢查是否爲危險行爲，因此可以大大減小誤報和漏報的機率。

RASP 也是目前業界已知的對 SQL 注入防禦最高的一種手段，並且識別率很是高，它可以有效地解決電商網站的數據安全和泄露問題。

好比像 XSS 這種攻擊，在RASP面前就不值一提。RASP 定製了針對 XSS 攻擊的規則集和防禦類，而後採用 Java 字節碼技術，在被保護的類被加載進虛擬機以前，根據規則對被保護的類進行修改，將防禦類織入到到被保護的類中。因此在RASP可以很是有效地抵禦 XSS 這種攻擊。

OneRASP（實時應用自我保護）是一種基於雲的應用程序自我保護服務， 能夠爲軟件產品提供實時保護，使其免受漏洞所累。