RSA 创新沙盒盘点| Tala Security——高效检测和防护各种针对WEB客户端的攻击
2020-02-18
2020年2月24日-28日,网络安全行业盛会RSA Conference将在旧金山拉开帷幕。金沙js1996君已经相继向大家介绍了入选今年创新沙盒的十强初创公司:Elevate Security 、Sqreen和Tala Security三家厂商,下面将介绍的是:Tala Security。
一、公司介绍
Tala Security公司成立于2016年,总部位于美国加利福尼亚的弗里蒙特。其创始人兼CEO——Aanand Krishnan曾是Symantec(赛门铁克)产品管理的高级总监。据owler.com的数据显示,Tala Security自成立以来已经过4轮融资,总共筹集了850万美元。但crunchbase.com的数据则表明Tala Security已经得到了1460万美元的融资。
二、产品介绍
Tala Security的官方网站上展示的唯一一款产品是“Client-side Web Application Firewall”(下简称“Tala WAF”)。产品宣称“具有强大的预防能力、自动化决策能力和无与伦比的性能,可抵御XSS、Magecart,以及最重要的,抵御明天的攻击”。按照官方网站的宣传,Tala WAF的主要功能是检测和防护各种针对WEB客户端(浏览器)的攻击。
三、技术分析
注:以下所有结论均通过公开资料整理推测得出,并非基于对实际产品的研究,可能并不反映Tala WAF产品的实际情况,仅供参考。
01
整体运作机制
从官方白皮书来看,Tala WAF的运作主要依靠一些浏览器内置安全机制。具体包括:
1、内容安全策略(CSP)
由服务端指定策略,客户端执行策略,限制网页可以加载的内容;
一般通过“Content-Security-Policy”响应首部或“”标签进行配置。
2、子资源完整性(SRI)
对网页内嵌资源(脚本、样式、图片等等)的完整性断言。
3、iFrame沙盒
限制网页内iframe的表单提交、脚本执行等操作。
4、Referrer策略
避免将网站URL通过“Referer”请求首部泄露给其它网站。
5、HTTP严格传输安全(HSTS)
一定时间内强制客户端使用SSL/TLS访问网站,并禁止用户忽略安全警告。
6、证书装订(暂译,Certificate Stapling)
服务端会在SSL/TLS协商中附带OCSP信息,以证实服务端证书的有效性。
如果能够得到正确配置,CSP等客户端安全机制无疑是应对各类客户端侧攻击的有效方法。官方白皮书中称Tala WAF的核心功能是“在所有现代浏览器中动态部署并持续调整基于标准的安全措施”。
由此推测,Tala WAF的关键机制有二:
1、自动化生成和调整上述安全策略
和大部分的ACL一样,要严格配置这些安全机制并不是一件容易的事情。
2、收集和分析这些安全策略的执行记录
由于CSP具有Report机制,要收集其执行记录应该不算复杂。
最关键的部分是生成安全策略和分析执行记录的算法。对此,但金沙js1996君没能找到任何有价值的公开信息。仅有的叙述来自官方网站:“Tala利用AI辅助分析引擎来评估网页体系结构和集成的50多个独特指标”。至于具体使用了何种模型则不得而知。
02
细节分析
特别声明:我们不会在未经授权的情况下对他人网站采取任何进攻性行为。以下测试仅通过查看和修改本地通信来测试浏览器CSP的实现效果,并不能表明Tala Security网站存在或不存在任何安全漏洞。
直接访问Tala Security官方网站,可见该网站的CSP配置如下:
可见是一组非常复杂的CSP,我们猜测Tala Security官方网站大概使用了Tala WAF。如果猜测属实,其中有一些细节值得注意:
CSP响应首部
我们首先发现,响应首部中配置的是“Content-Security-Policy-Report-Only”而非“Content-Security-Policy”。这意味着即使页面元素/脚本违背了CSP也不会被阻止,而是仅仅产生一条Report信息:
上图可见,即使
您的联系方式
购买热线
提交项目需求
欢迎加入js1996官网登录,成为我们的合作伙伴!
服务热线
400-818-6868
服务时间
7*24小时
© 2024 NSFOCUS js1996官网登录 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证110355号