Web安全的客户端观点

在分为三部分的系列文章的第一部分中,对Web安全的威胁进行了说明,并显示了客户端安全性可以解决常见的网络攻击类别,例如: 麦卡特。概述了Web安全的传统解决方案,包括基于客户端标准(例如内容安全策略和子资源完整性)的Web安全的新方法。这些新兴方法在代表性的客户端安全平台的上下文中进行了说明。

威胁网络安全

介绍

网络安全作为一门专业学科,最突出的方面也许是其不断变化的周期。也就是说,随着网络攻击的出现挑战某些在线资源的机密性,完整性或可用性,人们发明了相应的保护解决方案以降低风险。一旦将这些解决方案整合到感兴趣的资源的基础结构中,就会出现新的网络攻击,并发明出新的解决方案,并且这一周期将继续。

在某些情况下,新的保护性网络解决方案会预见到新形式的恶意攻击的弊端–在可行的情况下,通常会在各种不同情况下避免安全风险。例如,针对密码猜测创建了两因素身份验证,但现在它是新密码设计中的重要组成部分 物联网 (IoT)机器对机器应用程序协议以降低风险。

在引入和减轻网络风险的过程中,最明显的就是 网络安全 –也称为 网络应用安全。随着越来越多的有价值的资产通过基于Web的界面进行配置和管理,基于Web的攻击的价值不断提高。这种上升的一个后果是,尽管有许多可用于保护Web资源的技术,但进攻与防御之间的差距正在扩大。

本技术系列的主要前提是,此网络安全漏洞源于大多数应用程序执行在现代浏览器上发生的事实。 Web安全社区早已认识到需要部署功能控件以保护Web服务器向客户端浏览器传递内容和功能的服务器端漏洞的必要性。但是,对该客户端漏洞的关注却很少,该漏洞对攻击者具有吸引力,并且在当今的安全基础结构中基本上被忽略。

我们系列中的以下三个部分旨在帮助解决这一疏忽。在第1部分中,我们介绍了当今针对网站的最常见网络攻击。然后,第2部分概述了当今大多数生产环境中部署的Web安全解决方案。最后,第3部分将介绍具有代表性的客户端安全解决方案如何帮助纠正当今不良行为者所利用的客户端弱点。

网站常见攻击

相称 蒂姆·伯纳斯·李在1990年代中期,将超文本协议和标记语言分层到Internet协议(IP)上的想法是出现了攻击性手段,用以攻击构成现在称为Web的基础设施,系统和应用程序。因此诞生了Web安全性学科,可以将其定义为管理基于Web的安全风险所需的一组保护措施。

正如人们所期望的那样,Web安全问题的分类法迅速向多个方向发展,但是早期的重点是避免拒绝服务攻击,保护主机基础结构以及确保Web内容自由流向用户。对可用性的这种关注对应于以下观察结果:如果网站关闭或无法正常运行,则将不会发生电子商务交易-这将对收入产生明显影响。

但是,除了这些基础结构方面的关注之外,越来越多的人观察到应用程序级安全性问题可能会带来严重的后果,通常会严重影响访问网站的客户的隐私。由此诞生了所谓的Web应用程序威胁,该威胁迅速从小问题演变为巨大的安全挑战。即使在今天,在其Web应用程序中查找具有可利用漏洞的站点也是一件容易的事。

近年来出现了几种难以消除的标准攻击策略。这些困扰性问题困扰着许多Web应用程序设计的复杂性,以及许多Web软件管理员的相对经验和无知。下面,我们描述这些策略(总共四个),这些策略继续将风险推向电子商务基础架构,并给许多企业安全团队带来挑战:

跨站脚本(XSS)

最常见的应用程序级Web安全攻击称为跨站点脚本攻击或 XSS 。跨站点攻击涉及一种称为注入的技术-攻击者在其中找到一种使脚本在目标网站上运行的方法。最终目标是使该目标Web应用程序将攻击者的代码发送到某个未知用户的浏览器。当网站在不进行大量检查的情况下接受,处理和使用输入时,XSS攻击最有效。

最终目标是攻击者设法将代码注入到某人的浏览器中。该用户会希望所有下载的脚本都很好,因为它们是来自所访问的且大概是受信任的网站的动态内容。然后,他们的浏览器将执行此代码(通常为JavaScript),从而将敏感信息(例如会话令牌或cookie)暴露给原始攻击者。 XSS 代码还可以将用户重定向到某些受感染的网站。

威胁网络安全

图1. XSS 攻击模式

诸如Open Web Application Security Project( OWASP )建议针对XSS攻击的各种防御措施。他们的建议,其中许多仍然被从业者所忽略,涉及常识编码和Web管理程序,这些程序改善了来自用户的数据处理。大多数涉及在服务器端对输入数据进行更好的验证,这是一个受欢迎的安全控制措施,应存在于任何Web生态系统中。

内容和广告注入

近年来,处理内容和广告注入攻击的挑战(也称为恶意广告)已大大增加。鉴于在线广告生态系统已成为现代商业中的一支力量,这不足为奇。一些估计有在线广告的大小,现在达到了高达$ 100B的总水平。黑客和犯罪分子了解这种趋势,并利用可利用的弱点。

恶意广告的工作方式与XSS攻击类似:恶意行为者找到通过合法广告网络将其代码注入网站的方法。再次类似于XSS的目标是针对网站的访问者,通常旨在将其浏览器重定向到已植入恶意软件的某些目标网站,该网站构成了所需的任何攻击(例如凭证盗窃)的基础。

许多观察者认为注入过程涉及所谓的“过路下载”。该术语指的是使用具有可利用漏洞的浏览器查看广告的用户(这是常见的情况)。当用户与广告互动时,将启动重定向过程,从而使恶意软件找到前往毫无戒心的网站访问者的方式。

威胁网络安全

图2.通过恶意下载驱动下载

解决此问题的传统方法是将诸如Web应用程序防火墙(WAF)之类的控件放置在访问权限内。 WAF将被编程为使用签名或行为分析来阻止来自不受信任来源的恶意代码执行。与XSS安全性一样,这种服务器端保护通常在广告生态系统中作为主要控件被发现。这种强调可以解决恶意广告,但可能不适用于所有形式的攻击。

麦卡特

黑客组织Magecart于几年前成立,以一种称为“卡片掠夺”的攻击来恐吓网站。通常,黑客组织往往来来往往,但是,Magecart故意针对企业网站和Web应用程序进行破坏。各种各样的组织看到他们的站点被劫持了,大多数受害者并没有立即发现安全解决方案。

麦卡特的中间人攻击很容易解释:它始于将恶意代码添加到从网站提供给客户的JavaScript中。然后,恶意代码会监视并收集合法数据,例如来自合法用户使用其浏览器访问该网站的信用卡信息。数据被泄漏到恶意放置站点,并以通常的非法方式卸载。就这么简单。

威胁网络安全

图3. 麦卡特卡浏览

但是,令人困扰的问题是,常见的服务器端安全工具无法解决此浏览器管理员( MITB )攻击,因为它发生在客户端。 Web应用程序防火墙( WAFs ),例如,看不到JavaScript活动,也无法扫描库中是否有代码插入。当从第三方或第四方托管站点进行攻击时,级联结果就是所谓的背负式攻击。

撰稿人: 塔拉安全首席执行官Aanand Krishnan。

分享这个