矛與盾——掃描器盲打對主動安全防護的啟示

筆者在最近與一家安全掃描器廠商的合作中聽到了「盲打」這個概念，當時就很好奇，這是個新的安全攻擊方式嗎？

對方的工程師給了筆者解答，他們的掃描器可以發起經過特殊配置的攻擊請求，使得含有被攻擊漏洞的伺服器 a 執行請求中配置的指令，回連到提前設定好的一台伺服器 b 上。這樣，通過伺服器b的連接配接紀錄就可以知道伺服器 a 是否含有特定的漏洞，典型的有非法指令執行和存儲型 xss 這兩大類。當然，這種檢測方式對于其他不存在指令執行過程的漏洞則無能為力了。

盲打這個詞不僅出現在上述場景中，如果大家上網搜尋「安全 盲打」這個關鍵詞，得出的結果多數是「 xss 盲打」，而這個概念和我剛剛解釋的這個概念相似卻不完全相同。網上的解釋多是：準備好 js 代碼，見輸入框就填！即嘗試所有可以輸入（注入）的地方，攻擊能否成功靠運氣。但凡哪個倒黴網站有個輸入框沒做過濾，就可能中招了！這是「被動型 xss 盲打」。從這個角度看，掃描的盲打和攻擊的盲打是一回事。隻不過，由攻擊觸發的回連動作不會給被攻擊者造成任何損失。

相比前面介紹的「被動型盲打」，另一種「主動型 xss 盲打」，即攻擊者知道網站采取資料的方式，而不知道資料展現的背景的情況下，通過主動送出具有真實攻擊功能 xss 代碼給程式而觸發的 xss 盲打，要更具威脅一些。部分掃描器可以通過配置生成一些常見的惡意攻擊，來達到發現漏洞的目的。

是以盡管掃描可以被看作是一種攻擊，但目的不同，決定了結果不同。如果我是個設計掃描器的，掃描請求應該被設計成有攻擊性而無害。但真實的掃描器是否如此設計就不得而知了。如果把掃描器比作一支矛，為了避免掃描器對業務邏輯潛在的「破壞」，主動的自我防護産品 rasp 可以充當一把盾擋在應用的前面，監視掃描器的一舉一動，迎接掃描器的挑戰！

為什麼 rasp 可以做到這一點呢？

首先，rasp 産品自身具備監測非法指令執行和 xss 注入這兩類漏洞的能力（當然不限于這兩類）；其次，rasp 産品在監聽到這兩類攻擊後會把詳細資訊呈現在管理視圖裡供運維人員甄别，進而采取适當措施——可以先配置 rasp 阻止此類惡意請求，然後讓開發人員着手從容修複漏洞。

本文系 oneasp 品質架構工程師王新泉原創文章。如今，多樣化的攻擊手段層出不窮，傳統安全解決方案越來越難以應對網絡安全攻擊。onerasp 實時應用自我保護技術,可以為軟體産品提供精準的實時保護，使其免受漏洞所累。想閱讀更多技術文章，請通路 oneapm 官方技術部落格

本文轉自 oneapm 官方部落格