DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

ddos盾_ddos高防什么意思_打不死

06-11 WEB安全

ddos盾_ddos高防什么意思_打不死

Duo实验室2019年2月21日雅各布·里克德凯尔·拉迪斯蒂夫·爱德华索什·亚弗民主化Chrome扩展安全作为我们通往互联网的门户,免费ddos防御软件,浏览器代表着消费者和企业之间最大的共同攻击面。虽然浏览器的安全性有了长足的进步,现代浏览器(如Chrome)提供了关键的安全功能,如自动更新和针对恶意内容的内置保护;但浏览器扩展的强大功能可能会带来通常不清楚的关键风险用户。只是像谷歌一样,Duo对安全可靠的浏览器和扩展生态系统。虽然Chrome浏览器可能提供了最安全的浏览体验,但人们和组织通常很难知道哪些第三方扩展与他们的风险兼容简介。这些在评估用户端点的安全性时,扩展常常被忽略,尽管随着软件即服务(SaaS)工具在演示、税务或电子邮件客户端的广泛使用,他们对个人和公司数据的访问也在不断增加。为了向用户和IT团队提供关于Chrome扩展的可操作情报,Duo Labs很高兴宣布CRXcavator(与"挖掘机"押韵)的公开测试版,这是一项分析Chrome扩展并产生全面安全性的免费服务报告。我们'将在本文后面讨论分析和企业管理特性。但首先,一段历史教训。记得吗"你有邮件!"很刺激吗?孩子们,集合在一起,让我给你们讲一个黑暗时期的故事,这个时期被称为第一次浏览器战争。那一年是1997年。Internet Explorer和Netscape Navigator正在迅速发布新版本,以期一个一个地改进另一个的功能。在一个决定性的十月一天,微软发布了InternetExplorer4.0。浏览器世界再也不一样了。提供给第三方开发者的右键菜单。浏览器以前没有提供任何机制让用户自定义浏览器。来自在这一点上,工具栏、插件和扩展提供的功能范围发生了爆炸。自从年轻消费者互联网的这些令人兴奋的日子以来,已经有了几种浏览器定制模型——从internet Explorer的ActiveX和Netscape插件API等繁重的界面,到我们害怕在亲戚电脑上看到的工具栏。他们想知道为什么他们的网速慢。谷歌Chrome是目前世界上使用最广泛的浏览器,超过60%的用户使用Chrome。从一开始,Chrome就专注于开发安全的浏览体验,并在浏览器生态系统中引领了许多改进。我们以前也写过Chrome的一些安全特性,比如推送删除闪光。如对于所有通过扩展支持第三方扩展性的浏览器,应用通用安全体验可能是一个挑战。扩展可以在浏览器上下文中访问强大的功能,因此,存在恶意参与者滥用此功能的情况。不仅存在彻头彻尾的恶意扩展,而且带有易受攻击Javascript的合法、良性扩展也可能被用户无意中加载的页面上的恶意内容攻击。用户访问的网站本身可能是合法的,但最终仍有可能成为广告网络攻击的渠道,该网络被欺骗为恶意服务内容。另外,与当今可用的许多其他类型的软件一样,扩展开发人员经常使用第三方库来构建扩展。这些第三方库会定期更新以解决安全漏洞,但扩展开发人员需要确保这些更新包含在扩展中。如果具有已知安全漏洞的过期库在扩展中持续存在,则这些漏洞可能会被恶意代码利用拜访过了Chrome扩展权限模型要求用户对权限进行审批,而人们往往会不加考虑地将权限授予扩展。由于授予扩展所需权限的机会首先发生在安装工作流期间,谨慎的企业安全团队希望在允许用户完成安装流程之前评估每个扩展。但是,请注意,这个谨慎假设的安全团队还需要具有几乎无限的能力,以便能够对每个分机。偶数如果一个安全团队已经批准了扩展,它的功能会随着时间的推移而改变,通常不会事先通知。一种情况是,如果恶意的第三方获得了对扩展的控制权,cc防御模块,可能是通过从开发人员那里购买扩展或损害开发人员的帐户。第三方可以添加恶意代码并将新版本推出给现有用户,而不会触发另一次安全审查。对于大多数安全性来说,手动检查组织域中允许的每个扩展的更新是不可行的团队。什么如果一个更现实的安全团队在收到安装Chrome扩展(缩写为CRX,防御ntpddos攻击,意思是"Chrome extension")的请求时,希望使用自动化来深入研究这个CRX?强大的,机器驱动的挖掘,就像反铲。或安挖掘机。用于CRXes。如果你威尔。不错名字,但它能做什么?扩展请求的权限集很好地指示了审阅者可能需要关注的程度,因此CRXcavator是在理解扩展请求可用的各种权限的含义的基础上构建的。我们已经对每个权限进行了分类并分配了一个客观的数字风险评分,以帮助安全团队在测试扩展时使用一个度量分析。但是,正如我们上面讨论过的,仅权限不足以完全理解扩展的安全属性。CRXcavator通过从其他几个角度评估扩展来解决这个问题,dos和ddos攻击防御,其中:a栋扩展代码可能向其发出外部请求的站点列表,这可能会上载用户数据或下载其他恶意代码使用retirejs分析扩展的内容安全策略(CSP)来确定扩展可以与哪些域通信,从而分析第三方Javascript库的漏洞。CSP允许的域将根据威胁情报源(如VirusTotal)进行检查,ThreatExchange和SSL标签列出外部包含的JavaScript文件,并允许用户从报告中查看其源代码扫描潜在的危险函数和可能的"入口点"——代码中潜在的坏角色可以在其中输入数据,包括扩展元数据,例如用户数量和指向隐私政策和支持页面,如果开发者提供了识别相关扩展(由Chrome网络商店确定),帮助分析师找到替代方案,在请求的扩展看起来不可靠或风险太大时,向用户建议这些观点,CRXcavator报告可以让安全操作分析员做出明智的决定,决定是否允许或阻止分机。这里然而,在Duo,我们从不满足于一次只测量一件东西。所以我们扫描了Chrome网络中的所有扩展商店。你你知道'All'是很多扩展,对吗?对!还有很多!ChromeWebStore中有超过180000个条目,包括扩展、主题和Chrome应用程序——可从Web Store下载的独立Web应用程序(Google对apps和extensions作了更深入的解释)。我们最终发现并处理了120463个扩展和应用程序。为了确保我们有足够的资源来运行复杂的分析,CRXcavator是建立在一个功能作为服务平台上的高速、令人尴尬的并行功能之上的。AWS Lambda允许我们处理并频繁地重新处理整个公共Chrome Web商店。这些Lambda函数输入到一个数据库中,高防御ddos,该数据库不仅是最新的,而且具有很深的历史意义小时。到通过分析我们扫描的扩展的属性,我们开始从权限超限的角度深入了解Web商店生态系统的实际情况,不完整或损坏的CSP和开发人员行为,如配置可选元数据Web商店的现状google在使Web商店更加安全方面取得了长足的进步。他们最近宣布,他们在给用户提供主机权限控制的同时,还改进了他们的扩展审查过程。谷歌最近讨论了对扩展审查流程的改进,这无疑提高了恶意扩展作者的门槛。CRXcavator填补了Google认为可以通过Web商店进行分发的安全性与用户或企业基于自身的个人风险认为适合自己使用的安全性之间的差距偏好。二2019年1月,扫描了120463个Chrome扩展和应用程序,发现许多开发者并没有始终如一地确保其安全性第三方库,将对用户数据的访问减少到功能扩展所需的最低限度,或提供有关其隐私影响的信息扩展。特别是Duo发现,38289个扩展(31.8%)使用第三方库,其中包含公开的漏洞。我们希望看到扩展(包括应用程序)对管理员的另一个改进是确保隐私政策和支持网站可用且易于访问。目前,102029个扩展(84.7%)没有列出隐私策略,93080(77.3%)没有列出支持站点。这些都是简单的修复方法

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/web/60323.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8068080访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X