Saugumo analizė: išorinių scenarijų naudojimo jūsų sistemoje pavojai

  • Išoriniai scenarijai teisėtose svetainėse, reklamose ir dokumentuose yra labai svarbus kenkėjiško kodo vykdymo vektorius neliečiant disko.
  • Tokios kalbos kaip „JavaScript“ ir „PowerShell“ įgalina XSS, be failų ir šoninio judėjimo atakas, kai jos derinamos su pernelyg dideliais leidimais ir netinkama konfigūracija.
  • Norint sušvelninti šią riziką, reikia patvirtinti įvestis, apriboti trečiųjų šalių scenarijus, sustiprinti interpretatorių naudojimą ir apsaugoti slapukus, žetonus bei neskelbtinus duomenis.
  • Geros kūrimo praktikos, naudotojų mokymo ir SAST/SCA įrankių, WAF ir nuolatinio stebėjimo derinys yra labai svarbus rizikos kontrolei.
Joaquin Romero

15 minučių

Saugumo analizė

Kai kasdien dirbi su kodu, labai lengva susitelkti tik į tai, kad jis „veiktų“, ir pamiršti kažką svarbaus: Kas nutinka, kai jūsų programa pradeda bendrauti su kodu, kurio nekontroliuojate?Trečiųjų šalių scenarijai, išorinės bibliotekos, reklamos, analizės valdikliai, tiekėjų integracijos... visa tai patogu kūrėjui, tačiau taip pat atveria duris kai kurioms pavojingiausioms ir sunkiausiai aptinkamoms atakoms.

Kai tik leidžiate išoriniam scenarijui veikti naršyklėje arba sistemoje, jūs labai pasitikite kodu, kurio neparašėte. Ir užpuolikai tai žino. Kenkėjiški scenarijai ir „be failų“ atakos tapo vienu iš pageidaujamų vektorių vogti duomenis, įkelti kenkėjiškas programas į atmintį arba infiltruotis į jūsų infrastruktūrą su minimaliais pėdsakais diske arba „įtartinais“ priedais. Išsamus šių rizikų supratimas yra būtinas, jei norite, kad jūsų programos ir sistemos būtų daugiau nei lengvas taikinys.

Kas tiksliai yra išorinis scenarijus (ir kodėl jis toks jautrus)?

Iš esmės, scenarijus yra kitos programos interpretuojamas kodo fragmentas: naršyklė, „PowerShell“ interpretatorius, „VBScript“ variklis, „Python“ interpretatorius ir kt. Skirtingai nuo kompiliuoto vykdomojo failo, scenarijus paprastai yra gryno teksto (nors dažnai užtemdytas sąmoningai) ir yra vykdomas skubiai iš sistemoje jau esančio interpretatoriaus.

Kalbėdami apie išorinius scenarijus saugumo kontekste, daugiausia turime omenyje du scenarijus: kodas, gaunamas iš interneto („JavaScript“, PDF failuose įterpti scenarijai, „Office“ makrokomandos, HTA ir kt.) ir scenarijų kodas, kuris veikia pačioje sistemoje („PowerShell“, „bash“, „VBScript“, „Python“ ir kt.), kuriuos valdo vartotojas, kita programa arba išnaudojimas.

Šių scenarijų grožis (ir problema) yra tas, kad Jie remiasi visiškai teisėtais įrankiaisJūsų naršyklėje turi veikti „JavaScript“; „Windows“ sistemoje yra „PowerShell“ ir WMI; daugelis įmonių automatizuoja administravimą naudodamos scenarijus. Užpuolikui tereikia įsiskverbti į šią darbo eigą ir pakartotinai panaudoti tas pačias galimybes, kurias naudojate jūs, bet daug mažiau kilniems tikslams.

Susijęs straipsnis:
„FileFort Backup“, sukurkite visų FTP serverio dokumentų, nuotraukų ir muzikos aplankų atsarginę kopiją

Pažeistos teisėtos svetainės: klastingiausia problemos pusė

Vienas pavojingiausių išpuolių vektorių šiandien yra kenkėjiški scenarijai, įterpti į visiškai teisėtas svetaines kurio saugumas buvo pažeistas. Vartotojas atidaro savo mėgstamą žiniasklaidos priemonę, banką ar naujienų svetainę ir, ne dėl savo kaltės, jo naršyklė gauna ir vykdo trečiosios šalies įvestą kodą.

Šis kodas paprastai eina užmaskuotas ir gerai užmaskuotas tarp teisėtų bibliotekų, skelbimų ar trečiųjų šalių valdiklių. Daugeliu atvejų tai yra dalis išnaudojimo rinkiniai (Savo laiku „Neutrino“, „Angler“ ir kiti modernesni), galintys automatiškai aptikti naršyklės, papildinių („Flash“, „Java“, PDF) ar net operacinės sistemos ir pagalbinių programų pažeidžiamumus.

Kai įvyksta tinkamas saugumo pažeidimo ir leidimų derinys, scenarijus atsisiunčia ir vykdo Naudingoji apkrovaIšpirkos reikalaujančios programos, Trojos arkliai, robotai, kriptovaliutų kasimo programos ar bet kokia kita kenkėjiška programa, kuria domisi užpuolikas. Visa tai gali nutikti. vartotojui nespustelėjus nieko ypač neįprastodaugiau nei tiesiog puslapio su reklamjuoste ar pažeistu scenarijumi įkėlimas.

Kenkėjiška reklama: reklama kaip Trojos arklys

Kampanijos netinkamas skelbimas Jie yra gana aiškus išorinio scenarijaus piktnaudžiavimo pavyzdys. Užpuolikui nereikia tiesiogiai nulaužti didelės svetainės: pakanka į reklamos tinklą įtraukti kenkėjiškų skelbimų tą svetainę naudoja. Šie skelbimai apima scenarijus, kurie nukreipia į puslapius su spragų rinkiniais arba vykdo kodą tiesiai naršyklėje.

Yra buvę atvejų svarbiausiose tarptautinėse vietose, kur Įterpti skelbimai vykdė tokius atakų rinkinius kaip „Angler“ arba „Neutrino“.Kai kuriais atvejais užpuolikui pakako paprasto spustelėjimo ant reklamjuostės, kad jis perimtų įrenginio valdymą, ypač jei vartotojas naršė naudodamas senesnes įskiepių versijas arba pačią naršyklę.

Problema čia yra pereinamojo pasitikėjimo problema: pagrindinė svetainė deleguoja trečiųjų šalių scenarijai ir turinys (reklamos tinklai, analizės teikėjai, socialinių tinklų valdikliai), kurie įkeliami tame pačiame saugumo kontekste kaip ir likusi puslapio dalis. Jei viena iš šių nuorodų nutrūksta, užpuolikas gali įterpti ką tik nori, turėdamas tas pačias teises kaip ir teisėtas kodas.

Kliento pusės scenarijai: galia ir atakos paviršius

Kliento pusės programavimas – „JavaScript“, „TypeScript“, HTML5, CSS ir kitos žiniatinklio kalbos – yra šiuolaikinio žiniatinklio variklis. Jo dėka mes turime dinaminės formos, SPA, interaktyvūs žemėlapiai, realaus laiko ataskaitų suvestinės ir kt. Tačiau visa ši galia turi vieną ypatybę: tas kodas veikia kiekvieno vartotojo naršyklėje, yra visiškai matomas ir modifikuojamas.

  Audacity: žingsniai, kaip normalizuoti garsą ir pašalinti foninį triukšmą

Tai reiškia, kad bet koks kliento pusės scenarijus yra tiesioginis užpuoliko taikinysGalite jį apžiūrėti, atlikti atvirkštinę inžineriją, manipuliuoti vykdymo metu, perimti API iškvietimus arba netgi įterpti savo kodą, išnaudodami XSS, CSRF pažeidžiamumus arba prastą CORS ir CSP įgyvendinimą.

Tipinės problemos, susijusios su nesaugiais kliento pusės scenarijais, yra šios: Skirtingų svetainių scenarijus (XSS)Skirtingų svetainių užklausų klastojimas (CSRF), žetonų ir jautrių duomenų atskleidimas priekinėje dalyje, kodo injekcijos per DOM ir tiesioginis programos būsenos manipuliavimas iš naršyklės konsolės.

Saugumo analizė

XSS: Kai jūsų paties priekinė dalis atsigręžia prieš jus

Skirtingų svetainių scenarijų vykdymas ir toliau yra didžiausia interneto pažeidžiamumų sąrašo dalis. Koncepcija paprasta: Užpuolikas priverčia programą pateikti jo kontroliuojamą scenarijų kitiems vartotojams.Šis scenarijus veikia aukų naršyklėje su tais pačiais leidimais kaip ir teisėtas svetainės kodas.

Tipiniai vektoriai yra komentarų laukai, vartotojų profiliai, URL adresų parametrai arba bet kokie duomenys, kuriuos programa atspindi be dezinfekavimo ir tinkamo kodavimoJei ta išvestis į HTML įterpiama tokia, kokia yra, arba, dar blogiau, į tokius atributus kaip onclick arba innerHTML "Užpuolikas gali slapta įsidėti žymą." <script> arba sudėtingesnis naudingasis krovinys.

Turėdamas XSS, užpuolikas gali vogti slapukus ir sesijos žetonus, imituoti veiksmus vartotojo vardu, diegti sukčiavimo formas, kurios imituoja jūsų sąsają, modifikuoti tai, ką mato vartotojas, arba netgi atlikti grandinines atakas, kad nukreiptų į vidinę sistemą, jei paveiktas vartotojas yra administratorius.

Scenarijai „Office“, PDF ir kituose dokumentuose

Išoriniai scenarijai neatkeliauja tik per naršykles. Užpuolikai tuo naudojasi jau daugelį metų. makrokomandos ir scenarijų mechanizmai „Office“ dokumentuose, PDF failuose ir kituose, atrodytų, nekenksminguose formatuoseEl. laiškas su priedu, kurį „būtina atidaryti“, išlieka labai pelninga galimybe.

„Office“ atveju klasikinis metodas yra dokumentas su užmaskuota VBA makrokomanda ir su tuo susijusiomis rizikomis. „Office“ scenarijaiMakrokomanda paleidžiama, kai vartotojas įjungia aktyvųjį turinį ir paprastai iškviečia „PowerShell“ scenarijai, „WScript“, HTA arba kiti sistemos komponentai atsisiųsti ir paleisti kenkėjišką paketą į atmintį. Daugelis išpirkos reikalaujančių programų šeimų pateko į sistemą tokiu būdu.

Kita vertus, PDF failuose gali būti Įterptas JavaScript kuriuos vykdo tam tikri skaitytuvai. Jei skaitytuvas arba naršyklės įskiepis turi pažeidžiamumų, šis scenarijus gali jais pasinaudoti, kad vykdytų kodą. Vėlgi, nereikia jokio .exe failo; viskas atliekama naudojant scenarijus ir išnaudojant jau įdiegtuose komponentuose esančias spragas.

„PowerShell“, „bash“ ir „company“: scenarijai sistemoje neliečiant disko

Sistemos aplinkoje tokios kalbos kaip „PowerShell“, „VBScript“, „bash“, „Python“ arba „Perl“ yra itin galingi administravimo įrankiai. Būtent todėl, Pažangios grėsmių grupės ir be failų kenkėjiškos programos juos mėgstaUžuot paleidę vykdomąjį failą, jie tiesiog įterpia arba atsisiunčia scenarijų, kuris veikia tik atmintyje.

„PowerShell“ yra vadovėlinis pavyzdys. Jis naudojamas kasdien IT užduotims automatizuoti, bet taip pat ir įkelti kenkėjiškas DLL programas į atmintį, išgauti kredencialus, judėti tinkle horizontaliai arba bendrauti su užšifruotu C2 serveriuVisa tai pasiekiama naudojant tik standartines, dažnai užmaskuotas funkcijas ir nepaliekant diske jokios aiškios kenkėjiškos programos, kurią galėtų pasirašyti tradicinė antivirusinė programa.

Tas pats pasakytina apie „bash“ arba „Python“ scenarijus „Linux“ aplinkose ir „AppleScript“ „macOS“ sistemoje. Jūsų sistemoje gali veikti paprasta komanda, nukopijuota iš forumo, arba scenarijus, atsisiųstas iš nepatikimos saugyklos. daug daugiau nei atrodo, nuo galinių durelių atidarymo iki svarbių nustatymų keitimo.

Failų neturinčios atakos ir klasikinės antivirusinės programinės įrangos apėjimas

Pagrindinis užpuoliko pranašumas yra tas, kad scenarijai leidžia jiems pradėti atakas. praktiškai nieko nerašant į diskąIšsiveržimo kodas patenka per internetą, el. paštą arba RDP, vykdo „PowerShell“ arba „JavaScript“ komandą, kuri atsisiunčia papildomą kodą tiesiai į atmintį, įterpia jį į teisėtą procesą ir viskas. Paleidus sistemą iš naujo, dauguma pėdsakų išnyksta.

Remiantis pastarųjų metų tyrimais, Iki 40 % pastebėtų atakų dabar yra „be failų“ arba daugiausia paremtos scenarijais.Kenkėjiška programa yra atmintyje, naudoja „Microsoft“ ar kitų tiekėjų pasirašytus procesus ir pasikliauja teisėtais įrankiais, tokiais kaip „mshta.exe“, „wscript.exe“, „powershell.exe“, „rundll32.exe“ ir kt.

Tokiu atveju produktai, kurie beveik išimtinai priklauso nuo parašai failuose diske Jie žaidžia nepalankioje padėtyje; verta peržiūrėti tokius palyginimus kaip „Windows Defender“ saugos palyginimas suprasti ribas ir alternatyvas. Aptikimas tada priklauso nuo euristinių metodų ir elgsenos analizės: įtartinų komandų eilučių, interpretatorių su užmaskuotais parametrais iškvietimų, keistų tinklo ryšių, jautrių API naudojimo ir kt.

Pernelyg daug leidimų ir prasta konfigūracija: geriausias kenkėjiško scenarijaus draugas

Vienas aspektas, kuris dažnai neįvertinamas, yra poveikis paskyros su pernelyg didelėmis privilegijomisDaugelyje „Windows“ aplinkų dauguma vartotojų vis dar dirba kaip vietiniai administratoriai arba su juokingai žemo lygio vartotojo abonemento valdymu (UAC). Jei kenkėjiškas scenarijus paleidžiamas naudojant šiuos prisijungimo duomenis, jis gali laisvai diegti tvarkykles, paslaugas, modifikuoti registrą arba išjungti saugos valdiklius.

  Namų tinklo srauto auditas be mokamos programinės įrangos

Kažkas taip paprasta Konfigūruokite UAC į vidutinį/aukštą lygį ir dirbkite su paskyromis be administratoriaus teisių. Kasdienėms užduotims tai smarkiai sumažintų daugelio scenarijų poveikį. Net jei scenarijus ir paleidžiamas, jo galimybės padaryti žalos yra labai ribotos, jei jis negali lengvai padidinti privilegijų.

Tas pats pasakytina ir apie serverius, konteinerius ir debesijos aplinkas: tokių paslaugų, kaip rootSuteikiant rašymo teises ten, kur jos netinkamos, arba dalijantis raktais ir žetonais tarp aplinkų atsiveria didžiulės galimybės bet koks pažeistas scenarijus gali pasisukti gerokai už savo pradinės apimties ribų.

Pagrindiniai išorinių scenarijų naudojimo sistemoje pavojai

Visa tai reiškia gana konkrečių rizikų seriją, kai jūsų programa ar infrastruktūra priklauso nuo išorinių scenarijų:

  • Savavališkas kodo vykdymas (RCE): Naudodamas XSS, makrokomandas, „PowerShell“ scenarijus, HTA arba skaitytuvų ir naršyklių spragas, užpuolikas gali vykdyti komandas naudodamasis vartotojo ar net sistemos teisėmis.
  • Duomenų ir kredencialų vagystė: Naršyklės scenarijai gali skaityti slapukus, vietinė parduotuvė ir API atsakymus; sistemos scenarijai gali rinkti slaptažodžius, prieigos raktus, API raktus, slaptus failus ir nusiųsti juos į nuotolinį serverį. Norint patikrinti, ar nėra paskyrų nutekėjimų, patartina Patikrinkite, ar jūsų sąskaitos nebuvo nutekintos kilus įtarimui.
  • Sesijos ir tapatybės užgrobimas: Gerai įdiegtas XSS arba pažeistas trečiosios šalies scenarijus gali pavogti sesijos žetonus, JWT ir slapukus. neapsaugotas arba netgi perimti suklastotų formų įgaliojimus.
  • Šoninis judėjimas ir ištvermė: Patekus į tinklą, administratoriaus scenarijai („PowerShell“, WMI, bash) leidžia tyrinėti tinklą, skleisti informaciją kituose kompiuteriuose, įdiegti galines duris ir palaikyti nuolatinę prieigą. Peržiūrėkite vadovus, skirtus nuolatinių grėsmių valdymas padeda sušvelninti šiuos scenarijus.
  • Kriptovaliutų kasimas ir išteklių piktnaudžiavimas: Kenkėjiški scenarijai svetainėse arba įterpti plėtiniai gali naudoti jūsų vartotojų arba serverių procesorių ir grafikos procesorius, kad be jūsų sutikimo galėtų atlikti kasybą, taip sumažindami našumą ir sutrumpindami įrangos tarnavimo laiką.
  • Svetainės iškraipymas ir turinio manipuliavimas: XSS, pažeisti papildiniai arba modifikuoti išoriniai scenarijai gali pakeisti tai, ką mato vartotojas, įterpti į jūsų svetainę reklamą, sukčiavimo atakas ar apgaulingą turinį.
  • Kontrolės vengimas ir sudėtinga teismo ekspertizė: Kadangi scenarijais pagrįstos atakos veikia atmintyje ir naudoja teisėtus įrankius, jos diske ir žurnaluose palieka mažiau aiškių pėdsakų, todėl vėliau jas sunkiau aptikti ir analizuoti.

Geriausia praktika, kaip saugiai dirbti su išoriniais scenarijais

Tai ne apie visų išorinių scenarijų demonizavimą, nes realybė tokia, kad Dauguma šiuolaikinių programų jais remiasiTikslas – sumažinti numanomą pasitikėjimą ir įdiegti pagrįstas kontrolės priemones visuose svarbiuose taškuose.

„Windows 11“ konfigūravimas saugumui užtikrinti
Susijęs straipsnis:
Kaip apsaugoti „Windows 11“: patarimai ir profesionalūs nustatymai

1. Sustiprinkite priekinės dalies sukietėjimą ir kontroliuokite, kas vykdoma

Kliento pusėje tikslas yra sumažinti žalą, kurią gali padaryti kenkėjiškas scenarijus, nesvarbu, ar jis sukurtas jūsų pačių, ar trečiosios šalies:

  • Patvirtina ir dezinfekuoja įvestis kliento ir serverio pusėse. Kliento pusės filtrai pagerina naudotojo patirtį, tačiau tikrasis saugumas slypi serveryje. Nepaisant to, filtravimas, kai įmanoma, padeda sumažinti daugelio trivialių XSS ir injekcijos vektorių poveikį.
  • Paleiskite ir visada užkoduokite išvestį. Visi vartotojo duomenys, kuriuos rodote HTML formatu, turi būti tinkamai užgožti. Venkite kurti HTML per innerHTML su žaliomis stygomis.
  • Venkite internetinių scenarijų. Nedėkite „JavaScript“ tiesiai į HTML atributus ar blokus <script> Jei įmanoma, įterptieji failai. Naudokite išorinius failus ir pasinaudokite griežtesnėmis turinio saugumo politikomis.
  • Įdiegti tinkamą CSP. Apibrėžkite turinio saugumo politiką, kuri riboja, iš kur galima įkelti scenarijus, draudžia eval ir blokuoti inline-script išskyrus atvejus, kai tai yra griežtai būtina.
  • Naudokite saugius slapukus su „HttpOnly“ ir „SameSite“. Seansams pažymėkite slapukus kaip Secure, HttpOnly y SameSite=Lax o Strict siekiant apsaugoti juos nuo XSS ir CSRF.
  • Taikyti saugos antraštes. HSTS, „X-Content-Type-Options“, „X-Frame-Options“ ir panašūs įrankiai padeda lengvai užverti duris, kuriomis pasinaudoja daugelis scenarijų pagrindu veikiančių atakų.

2. Sustiprina kliento pusės scenarijų valdymą

Be programėlės logikos, reikia stebėti ir sąsajos priklausomybes:

  • Sumažinkite trečiųjų šalių scenarijų skaičių. Kiekvienas papildomas valdiklis, CDN arba SDK yra nauja atakos platforma. Įkelkite juos tik tada, kai jie tikrai būtini.
  • Nustatykite versijas ir naudokite subresursų vientisumą (SRI). Įkeldami scenarijus iš CDN, naudokite atributus integrity y crossorigin siekiant užtikrinti, kad turinys nebūtų modifikuotas.
  • Nuolat atnaujinkite bibliotekas ir sistemas. Daugelis XSS ir panašių pažeidžiamumų yra ištaisyti naujesnėse „React“, „Angular“, „Vue“, „jQuery“ ir kt. versijose. Naudojant senesnes versijas, žinomi pažeidžiamumai lieka atviri.
  • Reguliariai tikrinkite savo plėtinius ir papildinius. Tiek įmonių naršyklėse, tiek serveriuose (TVS įskiepiuose) jis pašalina viską, kas nebūtina, ir stebi, ar nėra saugumo įspėjimų.
  „Gmail“ pašalins „Gmailify“ ir POP prieigą: kas keičiasi ir ką galite padaryti

3. Užtikrinkite, kad sistemoje būtų naudojami scenarijai („PowerShell“, „bash“…).

Operacinės sistemos srityje raktas slypi tame, taikyti mažiausių privilegijų principą ir stebėti elgesį:

  • Tai riboja, kas gali ką vykdyti. Segmentuokite vartotojus pagal jų poreikius: tuos, kuriems scenarijų reikia kasdien, tuos, kuriems jų reikia tik retkarčiais, ir tuos, kuriems jų niekada nereikia. Blokuokite nereikalingus interpretatorius profiliuose, kuriems jų nereikia.
  • Apriboja „PowerShell“ ir kitus interpretatorius. Naudokite „Execution Policy“, „AppLocker“ arba lygiavertes alternatyvas, kad leistumėte tik pasirašytus scenarijus arba scenarijus, esančius kontroliuojamuose keliuose.
  • Pagal numatytuosius nustatymus išjungti makrokomandas. Jie turėtų būti įjungti tik tiems vartotojams ir dokumentams, kuriems jų reikia, ir pageidautina, kad būtų pasirašyti skaitmeniniu būdu.
  • Nedirbkite su administratoriaus paskyromis, nebent tai būtų absoliučiai būtina. Atlikite kasdienes užduotis naudodami standartines paskyras ir rezervuokite privilegijuotus prisijungimo duomenis konkrečioms, kontroliuojamoms užduotims.
  • Stebi įtartinas komandas. „PowerShell“ sekos su „Base64“ eilutėmis, atsisiuntimai iš neįprastų domenų, vykdymas mshta, wscript o rundll32 Nenormalūs reiškiniai yra aiškus ženklas, kad kažkas negerai.

4. Apsaugokite neskelbtinus duomenis kliento ir serverio įrenginiuose

Kadangi scenarijai yra priemonė, duomenys yra prizas. Apsunkinkite tai:

  • Venkite žetonų ir raktų rodymo priekinėje dalyje. Neslėpkite paslapčių „JavaScript“, globaliuose kintamuosiuose ar statiniame kode. Viskas kliento pusėje yra matoma.
  • Tinkamai šifruokite ir naudokite stiprius raktus. Perduodamiems duomenims naudokite tinkamai sukonfigūruotą TLS; saugomiems duomenims naudokite dabartinius algoritmus ir režimus (AES-GCM, Argon2/bcrypt slaptažodžiams ir kt.).
  • Teisingai naudokite žetonais pagrįstą autentifikavimą. JWT ir panašūs protokolai turi būti pasirašyti naudojant saugius raktus, turėti pagrįstas galiojimo datas ir nenaudoti nesaugių algoritmų. Visada naudokite HTTPS.
  • Baltosios dėžės kriptografija arba kodavimo slopinimas yra tik papildomas sluoksnis. Klaidinantys scenarijai apsunkina atvirkštinę inžineriją, tačiau tai nepakeičia saugaus dizaino.

5. Pagalbos įrankiai: nebandykite visko matyti „iš akies“

Atsižvelgiant į kodo ir scenarijų kiekį, kurį apdoroja bet kuri moderni sistema, bandyti viską peržiūrėti rankiniu būdu yra nerealu. Protingas požiūris yra toks: integruoti saugumo įrankius į kūrimo ir veikimo ciklą:

  • Statiniai analizatoriai (SAST) ir apsauginiai pūkeliai. „ESLint“ su saugos įskiepiais, „Semgrep“ ir kt. gali aptikti pavojingus modelius, pvz., eval, nesaugus HTML arba apvalkalo komandų sujungimas.
  • Pažeidžiamumų skaitytuvai ir SCA. Jie analizuoja jūsų priklausomybes (tiek priekinės, tiek vidinės pusės), ieškodami bibliotekų su žinomais CVE, ir rekomenduoja saugias versijas.
  • WAF ir srauto stebėjimas. Gera žiniatinklio programų užkarda gali blokuoti įprastus XSS ir injekcijos bandymus akimirksniu ir suteikti jums galimybę matyti neįprastus modelius; ją verta papildyti pasirinktinės taisyklės užkardoje.
  • Grūdinimo įrankiai ir RASP. Saviapsauga vykdymo metu, kodavimo keitimas, klastojimas ir vientisumo stebėjimas suteikia papildomos apsaugos labai pažeidžiamoms klientų programoms.
  • Kūrėjams patogios saugumo platformos. Šiuolaikiniai sprendimai integruoja SAST, SCA, slaptą skenavimą ir CI/CD konfigūravimą, siūlydami ankstyvas aptikimas ir dažnai automatinis taisymas su scenarijais ir priklausomybėmis susijusių pažeidžiamumų.

Organizaciniai pokyčiai: scenarijų saugumas skirtas ne tik „IT“ specialistams

Kad ir koks nušlifuotas būtų jūsų kodas, jei organizacija nuolat atidarinėja priedus negalvodama arba vykdo kiekvieną el. paštu gautą scenarijų, jūs visada gesinsite gaisrus. Tai būtina. šviesti vartotojus ir komandas Dėl konkrečios scenarijų keliamos rizikos:

  • Periodiniai mokymai. Kad žmonės žinotų, kaip atpažinti įtartinus el. laiškus, netikėtas makrokomandas, keistus iššokančius langus ir „stebuklingus“ forumo scenarijus.
  • Aiški naudojimo politika. Ką galima įdiegti, iš kur atsisiųsti scenarijus, kaip tvarkomos makrokomandos, kas gali naudoti interaktyvųjį „PowerShell“ ir kt.
  • Tinklo ir įrenginių segmentavimas. Jei scenarijus pavyksta užgrobti kompiuterį, tas kompiuteris neturėtų turėti tiesioginio ryšio su visu vidiniu tinklu.
  • Stebėjimas ir reagavimas visą parą. Kuo greičiau aptiksite vykdomą kenkėjišką scenarijų, tuo mažiau laiko jam teks perkelti, užšifruoti ar išfiltruoti duomenis.

Trumpai tariant, išoriniai scenarijai yra galinga ir absoliučiai būtina priemonė šiuolaikiniame programavimo procese, tačiau jie taip pat yra privilegijuotas patekimo taškas užpuolikams, ypač kai jie derinami su pažeistomis teisėtomis svetainėmis, kenkėjiškomis reklamomis ir prastai sukonfigūruotomis aplinkomis.

Susijęs straipsnis:
„OSX Mavericks“ neleis įdiegti tam tikros programos „Mac“, sužinokite, kaip tai padaryti

Leidimų mažinimas, įkeliamo kodo kontrolė, elgsenos stebėjimas ir visa tai palaikymas naudojant į kūrimo ciklą integruotus saugumo įrankius ir procesus. Tai skiria infrastruktūrą, kuri „veikia“, nuo tokios, kuri gali toliau funkcionuoti net ir tada, kai kas nors bando ją sugadinti. Pasidalinkite informacija ir kiti vartotojai sužinos apie temą