当SRI和CSP还不够防DDoS时,browseloud的故事-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 行业资讯 > 当SRI和CSP还不够防DDoS时,browseloud的故事

当SRI和CSP还不够防DDoS时,browseloud的故事

小墨安全管家 2020-11-23 00:25 行业资讯 89 ℃
DDoS防御
今年2月,当流行的Browsealoud服务被破坏并分发了一具恶意的cryptominer时,互联网开始敏锐地意识到信任第三方库的惊险性。BrowseLoud提供屏幕阅读(文本到语音转换)和其他web服务,以增强网站的可访咨询性,并被政府机构广泛用于满脚访咨询要求。使用Browseloud库的网站感染了一种称为Coinhive的恶意加密矿工,一具允许用户"挖掘"Monero类似比特币的加密货币的程序。恶意软件窃取了用户设备的处理能力,接着挖掘加密货币。所以,当发觉恶意cryptominer经过可信的BrowseLoud JavaScript被注入5000多个网站时,其阻碍是显而易见的。不幸的是,解决办法并非这样。虽然在当今的云计算世界中,第三方库和服务的使用无处不在,但赋予第三方的明肯定任总是会增加应用程序的攻击面。源于第三方内容交付网络(CDN)的JavaScript能够彻底访咨询网站文档对象模型(DOM),同时能够控制网页内容、访咨询敏感的用户数据,或者在这种事情下,占用CPU并挖掘加密货币。 虽然攻击的性质略有不同,但受损CDN的阻碍与任何跨站点足本(XSS)漏洞相同。这算是为啥安全研究人员这样强调要确保为所有资源启用TLS,而不仅仅是主域服务的内容。经过未加密的HTTP加载单个足本会使网站容易受到中间人(MitM)攻击。可是,仅仅因为资源是经过HTTPS加载的,并不能证明它没有被篡改,它只在传输过程中防止被篡改。剧本大概在运输前被恶意修改过,就像布朗西洛德的故事一样。为了防止在不知情的事情下提供恶意内容的受损CDN,最简单、最安全的挑选算是自个儿托管足本。虽然您没有获得分布式缓存的好处,然而web扫瞄器在第一次加载之后仍然缓存静态内容,所以,思量到改进的安全状况,性能损失大概是能够答应的。因为将Browsealoud服务集成到您的网站中特别简单,只需猎取一具足本文件(文学学士),能够得出如此的结论:这是一具合理的挑选。不幸的是文学学士足本对此发出警告。/*[警告]请勿复制或自行托管此文件,您将不受支持*//*Browseloud Plus 2.5.0版(2017年9月13日)*/ 子资源完整性(SRI)在过去几年中,浮上了一种新的挑选,它能够经过确保外部源库的完整性来有效地减轻选定的攻击向量。子资源完整性(SRI)是W3C提出的一种web扫瞄器特性,用于验证cdn提供的资产。网站能够在任何关联足本和链接标记的完整性属性中指定给定第三方资源的加密哈希。示例配置如下:Chrome、Firefox和Opera从2016年4月开始支持SRI,但不幸的是,微软(即Edge)目前不支持SRI。所以,自托管第三方库仍然是最安全的挑选,直到有更广泛的采纳。可是,SRI有很多优点,验证外部资源的完整性将是在不大会儿的未来要走的路。关于源于一些静态JavaScript库或样式表(如jQuery或Bootstrap)的web应用程序,SRI是一具特别好的解决方案,它提供了强大的完整性操纵,并且然后实现CDN托管内容的好处。正如特洛伊·亨特指出的,Browsealoud足本不是一具版本操纵的静态资源。这算是为啥他们警告讲你不应该主持文学学士自个儿写剧本。它是软件即服务,它注定要改变。于是不能保证它的散列是常量。这并不是SRI设计用来防范的事情。而且,即使文学学士假如是静态版本的资源,SRI仍然是一具不充分的安全爱护。这是其他安全分析师停止研究的地点,但还有更多的故事需要说述。 布朗西卢德要使用Browsealoud服务,网站会嵌入文学学士页面中的足本,当调用时,以浮动工具栏的形式为用户提供文本到语音的辅助功能。作为文学学士足本执行时,它会动态加载大量额外的JavaScript库和资源。由加载的依靠项、足本和资源的简短列表文学学士尾随:https://plus.Browsealoud.com/modules/2.5.1/ba-library.min.jshttps://plus.Browsealoud.com/modules/2.5.1/ba-library-ui.min.jshttps://plus.Browsealoud.com/js/urlinfo/www.example.gov.jshttps://plus.Browsealoud.com/modules/2.5.1/Browsealoud.min.jshttps://plus.Browsealoud.com/js/locales/1.min.js?v=2.5.1https://babm.texthelp.com/prounations.ashxhttps://plus.Browsealoud.com/modules/2.5.1/simplify/body.htmlhttps://plus.Browsealoud.com/modules/2.5.1/settings/body.htmlhttps://fonts.gsstatic.com/s/opensans/v15/mem8YaGs126MiZpBA-UFVZ0b.woff2https://baspeech.speechstream.net/SpeechServices/index.html 运行时加载的资源中至少有一部分包含动态内容,同时不大概有稳定的加密哈希。非常是JavaScript库()包含特定于客户端的配置内容,包括过期时刻戳(expireydate)和URL标识符(UrlId)。然而,即使是静态内容也不能受到SRI的爱护,因为SRI无法为运行时动态加载的内容配置完整性属性。也不能保证那个列表是完整的,因为内容是依照用户行为动态加载的。内容安全策略(CSP)这算是内容安全策略(CSP)发挥重要作用的地点。SRI本身提供了有挑选地验证单个足本的完整性的能力。然而,在没有完整性属性集的事情下加载的足本将正常执行,防DDoS,而不使用完整性控件。谢天谢地,CSP能够阻挠这种事情的发生。默认事情下,CSP指示扫瞄器只允许从同一源执行不引人注目的足本。CSP不允许从其他源执行足本,包括内联足本标记、动态加载的足本以及eval()等惊险函数将要执行的内容。CSP还支持允许第三方足本的配置选项,只要它们的完整性受SRI爱护或标记为nonce。要执行受SRI爱护的第三方足本和样式表,请使用"require SRI for script style"指令配置CSP。SRI和CSP是互补的技术,能够一起使用,以防止外部托管内容的执行,除非它的哈希被非常列入白名单并验证完整性在承载CDN的静态库的上下文中,这是一具很安全的配置。不幸的是,这不适用于Browsealoud服务,因为它在运行时加载足本。从安全角度来看,DDoS防御,这是一具特别好的例子,讲明CSP怎么经过阻挠动态加载内容的执行来增强站点的安全性。然而,假如您有可访咨询性要求,同时依靠于Browsealoud举行文本到语音转换服务,则必须对CSP策略举行进一步的修改。"strict dynamic"CSP指令可用于允许执行动态加载的足本,只要它们是从显式可信的源(如受SRI爱护的足本)加载的。允许sri在没有未知资源的事情下有挑选地执行所有未知资源。关于具有大量CDN托管足本和依靠项的站点,严格的动态指令比冗长的源白名单更容易治理。示例策略如下:内容安全策略:script src"需要sri作为足本样式""strict dynamic"虽然上述允许的CSP策略确信比单独使用SRI更安全,DDoS防御,但它并不能减轻所有的安全咨询题。首先,这种配置不能防止对动态内容的攻击。即使文学学士使用SRI举行验证,CSP不允许使用外部足本,但加载的足本除外文学学士,CC防御,攻击者能够简单地将恶意代码注入动态资源。所以,防范像Browsealoud如此的受损服务比人们预期的要艰难得多。动态音频和简化的HTML假如不思量JavaScript以外的资源类型(如音频流、字体和HTML)所呈现的攻击向量,对browseloud危害的分析将是不完整的。作为一种文本到语音服务,Browsealoud为用户提供了一种机制来挑选web页面上的文本并将其转换为音频流。为了实现这一点,Browsealoud足本将所选文本公布到位于的服务baspeech.speechstream.net,返回动态生成的MP3媒体文件和相应的XML元数据文件的URL。邮政/演说服务/索引.htmlHTTP/1.1版主持人:baspeech.speechstream.net内容类型:application/x-www-form-urlencoded;charset=UTF-8text=hello%20world&userName=Browsealoud&voiceName=Vocalizer%20Expressive%20Ava%20Premium%20High%2022kHz&speedValue=40&。。。HTTP/1.1 200 200访咨询操纵允许原点:*缓存操纵:无缓存,无存储,必须重新验证,最大年龄=0内容类型:文本/纯文本服务器=亚马逊和xml=https://generator_35-178-93-36.speechstream.net/d

当SRI和CSP还不够时,browseloud的故事


DDoS防御

当前位置:主页 > 行业资讯 > 当SRI和CSP还不够防DDoS时,browseloud的故事

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119