转载

矛与盾——扫描器盲打对主动安全防护的启示

笔者在最近与一家安全扫描器厂商的合作中听到了「盲打」这个概念，当时就很好奇，这是个新的安全攻击方式吗？

对方的工程师给了笔者解答，他们的扫描器可以发起经过特殊配置的攻击请求，使得含有被攻击漏洞的服务器 A 执行请求中配置的命令，回连到提前设置好的一台服务器 B 上。这样，通过服务器B的连接纪录就可以知道服务器 A 是否含有特定的漏洞，典型的有非法命令执行和存储型XSS 这两大类。当然，这种检测方式对于其他不存在命令执行过程的漏洞则无能为力了。

盲打这个词不仅出现在上述场景中，如果大家上网搜索「安全盲打」这个关键词，得出的结果多数是「 XSS 盲打」，而这个概念和我刚刚解释的这个概念相似却不完全相同。网上的解释多是：准备好 JS 代码，见输入框就填！即尝试所有可以输入（注入）的地方，攻击能否成功靠运气。但凡哪个倒霉网站有个输入框没做过滤，就可能中招了！这是「被动型 XSS 盲打」。从这个角度看，扫描的盲打和攻击的盲打是一回事。只不过，由攻击触发的回连动作不会给被攻击者造成任何损失。

相比前面介绍的「被动型盲打」，另一种「主动型 XSS 盲打」，即攻击者知道网站采取数据的方式，而不知道数据展现的后台的情况下，通过主动提交具有真实攻击功能 XSS 代码给程序而触发的 XSS 盲打，要更具威胁一些。部分扫描器可以通过配置生成一些常见的恶意攻击，来达到发现漏洞的目的。

因此尽管扫描可以被看作是一种攻击，但目的不同，决定了结果不同。如果我是个设计扫描器的，扫描请求应该被设计成有攻击性而无害。但真实的扫描器是否如此设计就不得而知了。如果把扫描器比作一支矛，为了避免扫描器对业务逻辑潜在的「破坏」，主动的自我防护产品 RASP 可以充当一把盾挡在应用的前面，监视扫描器的一举一动，迎接扫描器的挑战！