「雙十一」的硝煙還未散盡，「雙十二」大戰(zhàn)即將拉開序幕!看得見的銷售數(shù)字讓人血脈噴張，而在這背后，還有一場比拼安全技術、用戶體驗的「暗戰(zhàn)」。在電商這個生態(tài)圈，沒有硝煙的戰(zhàn)爭早就上演了。

在一個完美的模型中，開發(fā)人員的開發(fā)生命周期 ( SDLC ) 應當符合安全防護標準，從而開發(fā)出安全的軟件。但在如今的信息社會里，IT 技術日新月異，新的高級安全攻擊層出不窮，攻擊方式變得越來越隱蔽和致命，同時為適應新的業(yè)務需求和技術革新，迭代開發(fā)和快速部署越來越流行。

跨站腳本攻擊(XSS)成客戶端腳本安全中的頭號大敵

XSS 曾多次位居 OWASP TOP 10 威脅的榜首，安全研究人員在很多最受歡迎的網(wǎng)站,包括 Google、Facebook、 Amazon、PayPal 等，都發(fā)現(xiàn)了這個漏洞的存在。這些漏洞的存在，讓黑客可以通過「 HTML注入」 篡改網(wǎng)頁，從而插入惡意的腳本，在用戶瀏覽網(wǎng)頁時，控制用戶瀏覽器。

舉個例子，可以讓大家從攻擊的角度體驗一下 XSS 的威力。通過 XSS 攻擊成功后，攻擊者能夠在你的瀏覽器中植入惡意的腳本，如 JavaScript、Flash 等。這類腳本往往可以讀取瀏覽器的 Cookie 對象，從而發(fā)起「 Cookie 劫持」攻擊，說的通俗點就是，如果你的 Cookie 中保存過一些登陸憑證，攻擊者就可以不通過密碼，直接進入你的用戶。雙十一期間有數(shù)千億的消費產生，這對于所有的電商網(wǎng)站來說，都是不容小覷的威脅。

除了「 Cookie劫持」外，XSS 漏洞還常被用于發(fā)動惡意軟件傳播(蠕蟲攻擊)，會話劫持，惡意重定向等。它破壞力強大，且產生的情景復雜，很難快速修補。所以，如何快速的防御各類 XSS 等應用層攻擊，是一個亟需解決的問題。

面對此類應用安全風險，傳統(tǒng)方式作用有限

應用程序安全測試 ( SAST / DAST / IAST ) 也是一種能夠比較有效的防止安全漏洞進入生產環(huán)境工具，但即使最成熟的應用程序安全測試工具也不可能捕獲所有漏洞。況且，找出漏洞只是第一步,只有修復所有漏洞才有意義。在大型項目里比如「雙十一」和「雙十二」這種大促，修復所有漏洞是所有程序員的噩夢，不僅需要花費大量的人力，同時也可能大大延遲開發(fā)和發(fā)布的進度。這是無法承受的代價。

現(xiàn)在網(wǎng)絡層保護技術(如 NGFW、UTM、IPS、IDS 等)已經成為大部分企業(yè)的標準配置,一些應用層保護技術( WAF 等)也逐步得到應用。這些技術的確在一些場景下能夠部分保護企業(yè)安全,但是在云時代網(wǎng)絡邊界越來越模糊，很多情況下企業(yè)都不清楚應用程序具體部署在什么地方，同時黑客對防火墻技術已經非常熟悉，翻墻技術也已經非常成熟。傳統(tǒng)安全防護技術對于新一代威脅是無能為力的。

RASP 或成最優(yōu)解決方案

RASP 工作在 Java 應用程序環(huán)境中，且是一種被證明有效的運行時應用程序自我保護技術?，F(xiàn)有應用程序無需修改任何代碼就可以在運行時進行自我保護，只針對關鍵保護區(qū)域進行掃描和保護，對 Java Web 系統(tǒng)性能影響極小。

比如像 XSS 這種攻擊，在 RASP 面前就不值一提。RASP 定制了針對 XSS 攻擊的規(guī)則集和防護類，然后采用 Java 字節(jié)碼技術，在被保護的類被加載進虛擬機之前，根據(jù)規(guī)則對被保護的類進行修改，將防護類織入到被保護的類中。所以 RASP 能夠非常有效地抵御 XSS 這種攻擊。

目前國內有一家在提供 RASP 的服務，OneASP能以最小代價并且快速解決上述難題，只需要非常簡單的修改一下 JVM 的啟動配置，就可以將運行。它能將攻擊過程透明化，通過控制臺可以非常清楚的知道系統(tǒng)什么時候、哪個模塊、哪行代碼遭受了哪種類型的攻擊。同時還能夠快速修復漏洞，只要將 OneRASP 和應用程序部署在一起就可以快速修復已知漏洞，不需要漫長的掃描 - 修復 - 掃描的過程。通過實時升級系統(tǒng)快速同步最新漏洞，避免零日攻擊。

當然，只有OneRASP也并非萬無一失，最優(yōu)的解決方案是將 OneRASP 和網(wǎng)絡安全解決方案、應用安全掃描與測試等安全防護系統(tǒng)結合起來，形成多層次立體的防御體系。如今各種攻擊手段層出不窮，單靠其中任一技術來防范應用程序的安全是不科學的。但 OneRASP 永遠是應用程序安全保護的最后一道無法逾越的壕溝,它可以幫你快速提升應用程序的安全級別，你再也不用擔憂沒有合格的安全工程師了。當然也確保你的企業(yè)不會作為下一個安全受害者登上頭條。

OneRASP(實時應用自我保護)是一種基于云的應用程序自我保護服務， 可以為軟件產品提供實時保護，使其免受漏洞所累。