矛與盾——掃描器盲打對主動安全防禦的啓示

筆者在最近與一家安全掃描器廠商的合做中聽到了「盲打」這個概念，當時就很好奇，這是個新的安全攻擊方式嗎？

對方的工程師給了筆者解答，他們的掃描器能夠發起通過特殊配置的攻擊請求，使得含有被攻擊漏洞的服務器 A 執行請求中配置的命令，回連到提早設置好的一臺服務器 B 上。這樣，經過服務器B的鏈接紀錄就能夠知道服務器 A 是否含有特定的漏洞，典型的有非法命令執行和存儲型 XSS 這兩大類。固然，這種檢測方式對於其餘不存在命令執行過程的漏洞則無能爲力了。

盲打這個詞不只出如今上述場景中，若是你們上網搜索「安全 盲打」這個關鍵詞，得出的結果多數是「 XSS 盲打」，而這個概念和我剛剛解釋的這個概念類似卻不徹底相同。網上的解釋可能是：準備好 JS 代碼，見輸入框就填！即嘗試全部能夠輸入（注入）的地方，攻擊可否成功靠運氣。但凡哪一個倒黴網站有個輸入框沒作過濾，就可能中招了！這是「被動型 XSS 盲打」。從這個角度看，掃描的盲打和攻擊的盲打是一回事。只不過，由攻擊觸發的回連動做不會給被攻擊者形成任何損失。

相比前面介紹的「被動型盲打」，另外一種「主動型 XSS 盲打」，即攻擊者知道網站採起數據的方式，而不知道數據展示的後臺的狀況下，經過主動提交具備真實攻擊功能 XSS 代碼給程序而觸發的 XSS 盲打，要更具威脅一些。部分掃描器能夠經過配置生成一些常見的惡意攻擊，來達到發現漏洞的目的。

所以儘管掃描能夠被看做是一種攻擊，但目的不一樣，決定告終果不一樣。若是我是個設計掃描器的，掃描請求應該被設計成有攻擊性而無害。但真實的掃描器是否如此設計就不得而知了。若是把掃描器比做一支矛，爲了不掃描器對業務邏輯潛在的「破壞」，主動的自我防禦產品 RASP 能夠充當一把盾擋在應用的前面，監視掃描器的一舉一動，迎接掃描器的挑戰！

爲何 RASP 能夠作到這一點呢？

首先，RASP 產品自身具有監測非法命令執行和 XSS 注入這兩類漏洞的能力（固然不限於這兩類）；其次，RASP 產品在監聽到這兩類攻擊後會把詳細信息呈如今管理視圖裏供運維人員甄別，從而採起適當措施——能夠先配置 RASP 阻止此類惡意請求，而後讓開發人員着手從容修復漏洞。

本文系 OneASP 質量架構工程師王新泉原創文章。現在，多樣化的攻擊手段層出不窮，傳統安全解決方案愈來愈難以應對網絡安全攻擊。OneRASP 實時應用自我保護技術,能夠爲軟件產品提供精準的實時保護，使其免受漏洞所累。想閱讀更多技術文章，請訪問 OneAPM 官方技術博客
本文轉自 OneAPM 官方博客