在本文的三篇中的第一篇中,我们将研究Web安全威胁,并讨论客户端安全工具如何处理经常被忽视的一类网络攻击,例如Magecart。它描述了基于客户端标准(例如内容安全策略和子资源完整性)的传统Web安全威胁防御技术。在代表性的客户端安全平台的上下文中可以看到这些不断发展的方法。
介绍
网络安全作为一门专业学科的基石也许是其不断变化的特性。也就是说,一旦出现影响某些Internet资源的机密性,完整性或可访问性的网络攻击,便会开发出适当的解决方案来消除它们。一旦将这些解决方案集成到受侵害资源的基础架构中,就会出现新的网络攻击,发明新的解决方案并结束这一周期。
在某些情况下,网络防御解决方案具有可以预测新形式恶意攻击的机制-当这种方法起作用时,可以在各种情况下避免安全风险。例如,创建了两因素身份验证作为防止猜测密码的措施,现在它已成为在物联网设备之间开发新通信协议时提高安全级别的重要组成部分。
在网络安全性(也称为Web应用程序安全性)领域中,最明显的是出现和克服威胁的过程。鉴于最有价值的资产通常是通过Web界面进行处理和管理的,因此Web漏洞利用的价值不断增长。这种增长的后果之一是,尽管有许多保护Web资源的技术,但攻击次数和保护级别之间的差距仍在扩大。
本技术文章系列的主要前提是Web安全漏洞,这是由于大多数应用程序都在现代浏览器中运行这一事实引起的。长期以来,Web安全社区已经认识到需要部署功能来防止服务器端为客户端提供静态和内容漏洞的功能。但是,对客户端安全性的关注很少,这对攻击者同样有吸引力,但在当今的安全基础结构中却被很大程度上忽略了。
在这个由三部分组成的系列文章中,我们希望填补这一空白。在第一部分中,我们将讨论网站上最常见的网络攻击。在第二部分中,我们将考虑当今最常在生产环境中部署的Web安全解决方案。在第3部分中,我们将探讨代表性的客户端安全解决方案如何帮助您发现基础架构中的漏洞,攻击者可以利用这些漏洞。
常见网站攻击
在上世纪90年代中期,与蒂姆·伯纳斯·李(Tim Berners-Lee)从超文本传输协议和标记语言到Internet协议(IP)的思想同时,还存在攻击构成所谓Web或网络(web)的基础设施,系统和应用程序的手段。于是诞生了诸如网络安全性的学科,可以将其定义为网络计算安全领域中风险管理所必需的一组保护措施。
如您所料,Web安全问题的分类法已朝不同方向迅速发展,但是在早期阶段,重点是防止拒绝服务攻击,保护主机基础结构以及确保用户的网络内容自由流通。对可访问性的关注源于以下事实:如果网站关闭或无法正常运行,电子交易将无法安全地进行,并获得可观的收入。
除了基础结构级别的问题之外,人们越来越相信应用程序级别的问题也可能产生严重的后果,特别是对于访问该网站的客户而言。因此诞生了所谓的网络安全领域的威胁已从小问题演变为大安全问题。即使在今天,找到易受攻击的Web应用程序也很容易。
在过去的几年中,出现了一套极难抑制的标准攻击策略。这些问题的侵扰性源于许多Web应用程序开发的复杂性,以及许多网络管理员相对缺乏经验和无知。下面,我们概述了四种导致电子商务基础架构易受攻击的策略,这些策略给许多公司及其安全团队带来了挑战。
跨站点脚本(XSS)
最常见的应用程序层攻击是跨站点脚本编写,或者简称为XSS。跨站点攻击的核心是一种称为注入的技术,这是攻击者找到一种方法将第三方脚本注入站点并使其正常工作时。最终目标是目标Web应用程序在用户不知道的情况下将攻击者代码发送到用户的浏览器。当网站在无需大量验证的情况下接受,处理和使用输入时,XSS攻击最有效。
最终目标是将代码注入到某人的浏览器中。受感染的用户期望所有即将来临的脚本都是安全的,因为所有动态内容都来自访问过的,据说是受信任的网站。用户的浏览器通常会使用JavaScript执行此代码,从而向攻击者透露机密信息,例如会话令牌或cookie。 XSS代码还可以将用户重定向到受感染的站点。
图1. XSS攻击的示意图
组织,例如Open Web Application Security Project(OWASP))提供了多种防御XSS攻击的方法。他们的建议,其中许多仍然被从业者忽略,包括有意义的代码编写和Web资源管理过程,这些过程改善了来自用户的数据的处理。其中大多数涉及更好的服务器端输入验证,这是一种受欢迎的安全措施,应该出现在任何网络生态系统中。
内容和广告注入
近年来,被称为恶意的内容和广告注入攻击变得越来越普遍。但是,考虑到在线广告生态系统日益壮大作为现代业务的推动力,这种趋势不足为奇。据估计,目前在线广告的规模已达到1000亿美元,黑客和犯罪分子已经意识到了这一趋势,并利用了现有的漏洞。恶意广告
如何运作与XSS类似:攻击者找到了一种通过合法广告网络将代码嵌入网站的方法。目标还类似于XSS,它的目标是使用恶意代码将访问者从一个站点重定向到另一个目标站点,这是任何攻击(例如身份盗用)的主要手段。
有人谈论将注入过程作为偷渡式下载。该术语指的是在具有漏洞的浏览器中查看广告的用户(不幸的是,这是非常常见的情况)。当用户与广告互动时,会发生重定向,从而导致恶意软件到达毫无戒心的站点访问者。
图2.通过恶意下载驱动下载
解决此问题的传统方法是使用控件,例如Web应用程序防火墙(WAF)。WAF将配置为使用签名或行为分析,以阻止恶意代码从不受信任的来源执行。与XSS一样,此服务器端保护通常在广告生态系统中用作关键控制元素。所描述的方法适用于恶意广告,但不适用于所有形式的攻击。
玛卡特
黑客组织Magecart成立于几年前,开始通过卡片掠夺之类的攻击来恐吓网站。通常,黑客团体的出现和消失很快,但是,Magecart长期以来一直困扰着公司的网站和Web应用程序。大量组织受到黑客的影响,对于大多数受害者来说,安全解决方案并不明显。
攻击中间人Magicart提供的保护非常简单:首先,将恶意代码添加到从服务器发送到客户端的JavaScript代码中。然后,恶意代码会跟踪并收集敏感数据,例如来自通过浏览器访问该网站的用户的信用卡信息。数据被发送到恶意站点并非法上传。一切都非常简单。
图3. Magicart的略读卡
但是,主要的问题是,传统的服务器端安全性无法解决客户端上的浏览器人(MITB)攻击。例如,Web应用程序防火墙(WAF)看不到JavaScript操作,也没有库扫描来进行代码注入。当攻击来自第三方站点时,结果是级联的,并且发生了所谓的背负式攻击。
了解有关该课程的更多信息。