2020年2月24日-28日,網絡安全行業盛會RSA Conference將在舊金山拉開帷幕。綠盟君已經相繼向大家介紹了入選今年創新沙盒的十強初創公司:Elevate Security 、Sqreen和Tala Security三家廠商,下面將介紹的是:
Tala Security。
一、公司介紹
Tala Security公司成立於2016年,總部位於美國加利福尼亞的弗裡蒙特。其創始人兼CEO——Aanand Krishnan曾是Symantec(賽門鐵克)產品管理的高級總監。據owler.com的數據顯示,Tala Security自成立以來已經過4輪融資,總共籌集了850萬美元。但crunchbase.com的數據則表明Tala Security已經得到了1460萬美元的融資。
二、產品介紹
Tala Security的官方網站上展示的唯一一款產品是“Client-side Web Application Firewall”(下簡稱“Tala WAF”)。產品宣稱“具有強大的預防能力、自動化決策能力和無與倫比的性能,可抵禦XSS、Magecart,以及最重要的,抵禦明天的攻擊”。按照官方網站的宣傳,Tala WAF的主要功能是檢測和防護各種針對WEB客戶端(瀏覽器)的攻擊。
三、技術分析
注:以下所有結論均通過公開資料整理推測得出,並非基於對實際產品的研究,可能並不反映Tala WAF產品的實際情況,僅供參考。
01
整體運作機制
從官方白皮書來看,Tala WAF的運作主要依靠一些瀏覽器內置安全機制。具體包括:
1、內容安全策略(CSP)
由服務端指定策略,客戶端執行策略,限制網頁可以加載的內容;
一般通過“Content-Security-Policy”響應首部或“”標籤進行配置。
2、子資源完整性(SRI)
對網頁內嵌資源(腳本、樣式、圖片等等)的完整性斷言。
3、iFrame沙盒
限制網頁內iframe的表單提交、腳本執行等操作。
4、Referrer策略
避免將網站URL通過“Referer”請求首部洩露給其它網站。
5、HTTP嚴格傳輸安全(HSTS)
一定時間內強制客戶端使用SSL/TLS訪問網站,並禁止用戶忽略安全警告。
6、證書裝訂(暫譯,Certificate Stapling)
服務端會在SSL/TLS協商中附帶OCSP信息,以證實服務端證書的有效性。
如果能夠得到正確配置,CSP等客戶端安全機制無疑是應對各類客戶端側攻擊的有效方法。官方白皮書中稱Tala WAF的核心功能是“在所有現代瀏覽器中動態部署並持續調整基於標準的安全措施”。
由此推測,Tala WAF的關鍵機制有二:
1、自動化生成和調整上述安全策略
和大部分的ACL一樣,要嚴格配置這些安全機制並不是一件容易的事情。
2、收集和分析這些安全策略的執行記錄
由於CSP具有Report機制,要收集其執行記錄應該不算複雜。
最關鍵的部分是生成安全策略和分析執行記錄的算法。對此,但綠盟君沒能找到任何有價值的公開信息。僅有的敘述來自官方網站:“Tala利用AI輔助分析引擎來評估網頁體系結構和集成的50多個獨特指標”。至於具體使用了何種模型則不得而知。
02
細節分析
特別聲明:我們不會在未經授權的情況下對他人網站採取任何進攻性行為。以下測試僅通過查看和修改本地通信來測試瀏覽器CSP的實現效果,並不能表明Tala Security網站存在或不存在任何安全漏洞。
直接訪問Tala Security官方網站,可見該網站的CSP配置如下:
可見是一組非常複雜的CSP,我們猜測Tala Security官方網站大概使用了Tala WAF。如果猜測屬實,其中有一些細節值得注意:
CSP響應首部
我們首先發現,響應首部中配置的是“Content-Security-Policy-Report-Only”而非“Content-Security-Policy”。這意味著即使頁面元素/腳本違背了CSP也不會被阻止,而是僅僅產生一條Report信息:
上圖可見,即使
閱讀更多 綠盟科技 的文章