在最近兩次針對航空公司和一家大型電子商務票務公司的網絡攻擊中,成千上萬的客戶通過稱為跨站點腳本(XSS)的惡意策略破壞了他們的個人和財務數據。
XSS并不是新事物,但是其影響力和可見性都在增長。最近最著名的例子是Magecart,該組織與上面提到的兩種攻擊都有聯系。Web應用程序是數據泄露漏洞的關鍵點。這是您需要保護它們免受XSS攻擊的知識。
什么是跨站點腳本(XSS),為什么問題變得越來越嚴重?
XSS攻擊涉及攻擊者將惡意腳本注入網頁或應用程序。當受害者訪問頁面或應用程序時,將執行代碼。例如,Magecart插入腳本,當用戶進行購買時會跳過支付卡數據。
事實是,保護網站并不像以前那樣簡單。Web應用程序由于其復雜性和監視難度而越來越受到關注。組織現在可以為他們的Web和移動訪問者提供跨多種設備的豐富,多樣且交互式的體驗,這是非常棒的,但是這種能力使IT安全團隊的工作變得更加復雜。鎖定
服務器已足夠的日子已經一去不復返了?,F在,您還必須注意瀏覽器,Web和移動應用程序及其所有組件。
阻止XSS攻擊的主要方法有兩種,但每種方法都有其自身的挑戰和缺點。
1 通過過濾和衛生措施防止XSS攻擊
過濾的目的是首先防止惡意腳本進入網站。由于惡意代碼來自客戶端來源,例如用戶提交的表單或受感染的Cookie,因此您需要通過過濾器傳遞所有外部數據。簡單吧?不幸的是,過濾確實有一些障礙。
隨著Web應用程序變得越來越復雜,它們越來越依賴第三方組件,而這些組件通常最容易受到攻擊。對于售票公司的黑客攻擊,惡意JavaScript已注入第三方組件。盡管公司對這些組件的要求越來越嚴格,但他們仍在努力過濾所有組件。而且,如果您的Web應用程序安全性工作發現了漏洞,那么很難讓第三方進行修復。
如果您的網站包含用戶提交的內容,例如評論,評論,個人資料或產品說明,那么過濾將是一個挑戰。例如,另一個電子商務組織經常遭受小規模XSS攻擊,因為它允許用戶發布包含JavaScript的復雜描述。在成千上萬的用戶提交信息的情況下,幾乎不可能完全使用過濾進行清理。
最后,過濾通常需要一組人員來處理繁重的工作量。當您的人力資源不多時,可能無法手動維護過濾器。
2.使用內容安全策略防止XSS攻擊
內容安全策略(CSP)涉及使用HTTP標頭將Web應用程序將信任的源列入白名單。所有其他人將被阻止。CSP在防止XSS攻擊方面非常有效,但是與過濾和衛生措施一樣,實現和維護CSP也有其缺點。
CSP的第一個問題是,它假定您的Web應用程序是靜態的,而實際上它們在不斷變化。如果您使用CSP并沒有為新的源或依賴項更新它,則您的站點將崩潰。除了動態之外,您的網站也很復雜。當您曾經使用瀏覽器與一臺
服務器通信時,大多數站點現在都包括分析,廣告,監視和其他第三方組件。您將獲得一些非常復雜的CSP標頭。
因此,由誰負責確保您的CSP可以防止每一次新的XSS攻擊而不會使您的站點崩潰?開發人員的艱巨任務是弄清網站訪問的每個資源,并手動配置CSP以使其使用。對于一個沒有經驗的團隊成員,他們可能根本不具備實施CSP的技能,因為即使是最好的開發人員也可能會發現CSP 容易出錯并且難以維護。
此外,那些為網站編寫代碼的開發人員可能不會是管理它們的人。這些人可能不了解所有依賴關系,因此最終可能會破壞網站。如果您有第三方開發其他解決方案,則很難獲得對依賴關系的了解。
CSP乍一看具有挑戰性。但是,有了正確的解決方案,它可以變得更加容易。關鍵是利用CSP的報告機制來促進開發人員和安全工程師之間的通信。利用數據,可以在舞臺環境中優化CSP,以便在部署時,該應用程序具有更新的CSP。在更新CSP并將新更新部署到生產之前,在團隊之間完全透明的情況下,可能會討論應用程序可以使用哪些資源。讓我們談談您可以做些什么。
通過可見性和靈活性防止XSS攻擊
要找到問題,您必須在正確的位置尋找它。這需要深入了解該應用程序的實際操作及其潛在的攻擊點。了解每個應用程序的組件,它們的狀態以及它們如何通信,并監視該應用程序正在訪問的數據。
為了有效地使用CSP,必須進行數據驅動。tCell是我們的云WAF和RASP工具,可與CSP無縫集成,以收集應用程序行為,并使用該數據來建議您單擊幾下即可創建的策略。此外,建議的策略更新為開發和安全團隊提供了一種很好的方式來討論第三方依賴項中的風險,并對收益與風險保持一致的看法。這不僅提供了優雅的技術解決方案,而且tCell可以在協作安全文化中有所幫助,這對于任何重視安全性的公司而言都是至關重要的。您的應用程序安全解決方案應能夠與應用程序生態系統中的變化和創新保持同步。
有些解決方案可以幫助您保持應用程序和動態策略的透明度。在Insight平臺上,Rapid7的tCell增強了Web應用程序在從瀏覽器到
服務器的各個級別的安全性。tCell提供了一個基于Web的解決方案,使您可以自動獲取應用程序使用的所有Web資源的實時可見性,而無需編寫代碼。此外,tCell允許您創建細粒度的阻止規則,以禁止來自高級配置用戶界面的不可信資源,而無需手動編輯HTTP標頭。
以上文章來源于網絡,如有侵權請聯系創一網的客服處理。謝謝!