矛与盾——扫描器盲打对主动安全防御的启示

笔者在最近与一家安全扫描器厂商的合做中听到了「盲打」这个概念，当时就很好奇，这是个新的安全攻击方式吗？

对方的工程师给了笔者解答，他们的扫描器能够发起通过特殊配置的攻击请求，使得含有被攻击漏洞的服务器 A 执行请求中配置的命令，回连到提早设置好的一台服务器 B 上。这样，经过服务器B的链接纪录就能够知道服务器 A 是否含有特定的漏洞，典型的有非法命令执行和存储型 XSS 这两大类。固然，这种检测方式对于其余不存在命令执行过程的漏洞则无能为力了。

盲打这个词不只出如今上述场景中，若是你们上网搜索「安全 盲打」这个关键词，得出的结果多数是「 XSS 盲打」，而这个概念和我刚刚解释的这个概念类似却不彻底相同。网上的解释可能是：准备好 JS 代码，见输入框就填！即尝试全部能够输入（注入）的地方，攻击可否成功靠运气。但凡哪一个倒霉网站有个输入框没作过滤，就可能中招了！这是「被动型 XSS 盲打」。从这个角度看，扫描的盲打和攻击的盲打是一回事。只不过，由攻击触发的回连动做不会给被攻击者形成任何损失。

相比前面介绍的「被动型盲打」，另外一种「主动型 XSS 盲打」，即攻击者知道网站采起数据的方式，而不知道数据展示的后台的状况下，经过主动提交具备真实攻击功能 XSS 代码给程序而触发的 XSS 盲打，要更具威胁一些。部分扫描器能够经过配置生成一些常见的恶意攻击，来达到发现漏洞的目的。

所以尽管扫描能够被看做是一种攻击，但目的不一样，决定告终果不一样。若是我是个设计扫描器的，扫描请求应该被设计成有攻击性而无害。但真实的扫描器是否如此设计就不得而知了。若是把扫描器比做一支矛，为了不扫描器对业务逻辑潜在的「破坏」，主动的自我防御产品 RASP 能够充当一把盾挡在应用的前面，监视扫描器的一举一动，迎接扫描器的挑战！

为何 RASP 能够作到这一点呢？

首先，RASP 产品自身具有监测非法命令执行和 XSS 注入这两类漏洞的能力（固然不限于这两类）；其次，RASP 产品在监听到这两类攻击后会把详细信息呈如今管理视图里供运维人员甄别，从而采起适当措施——能够先配置 RASP 阻止此类恶意请求，而后让开发人员着手从容修复漏洞。

本文系 OneASP 质量架构工程师王新泉原创文章。现在，多样化的攻击手段层出不穷，传统安全解决方案愈来愈难以应对网络安全攻击。OneRASP 实时应用自我保护技术,能够为软件产品提供精准的实时保护，使其免受漏洞所累。想阅读更多技术文章，请访问 OneAPM 官方技术博客
本文转自 OneAPM 官方博客