Threat Stack 引入额外的运行时攻击检测

防御更多类型的application攻击

Threat Stackapplication安全监控可检测代码中的漏洞并实时阻止实时攻击。 大多数application安全解决方案都会讨论最常见的运行时攻击（例如 SQL 注入或 XSS），但现代 Webapplication语言和框架也包含一些可能被滥用的合法功能，从而导致影响与这些攻击一样大（或更高）的攻击。 Threat Stackapplication安全监控可防御 SQLi 和 XSS，现在我们引入了额外的运行时攻击检测，以进一步保护您的 Webapplication、微服务和 API 工作负载免受路径或目录遍历攻击以及远程代码执行。 

远程代码执行（RCE）

远程代码执行 (RCE - 也称为任意代码执行或 ACE) 允许攻击者在运行application的服务器上运行任意代码。 这是一种注入攻击——攻击者可以将字符串传递到执行其自己的操作系统命令的函数中。 Wanago.io 博客https://wanago.io/2018/11/19/how-does-eval-work-and-how-is-it-evil-javascript-eval/上很好地解释了 JavaScript 中该机制的工作原理。 在此示例中，函数 eval 接受一个字符串，并以与application其余部分相同的权限将其作为代码执行。 想象一下，攻击者在您网站的注册表单上提交以下内容作为用户名：

'约翰"); exec("rm -rf ./*"); console.log("'

如果该用户名值在 eval 函数中被使用，那么接下来的日子就不太好了！

Threat Stack 通过两种方式保护您免受 RCE 攻击：构建时和运行时。 在构建时，AppSec 微代理会识别易受 RCE 攻击的函数调用 — — 例如 Node.js 中的eval()或 Python 中的os.fork 。 这些功能可能存在合法、安全的用途，因此我们将其标记为对开发人员的“风险”。 我们提供电子学习内容，解释它们为什么可能有风险并提供更安全的替代方案。 然而，在运行时，我们发现了实际利用漏洞的尝试。 例如，如果我们发现其中一个危险函数被来自网络且包含 shell 命令漏洞的内容调用，我们就会将其标记为攻击并立即通知您的团队。 常见的命令漏洞可能包括 kill、disable、stop、fdisk 等命令。 

路径或目录遍历 

路径或目录遍历攻击允许攻击者读取（或在某些情况下写入）运行application的服务器上的任意文件 - Webapplication所在文件夹之外的文件。 这可能包括application源代码、凭证或有价值的操作系统文件。 它的工作原理是利用变量中使用相对文件路径的常用技术——通常称为“点-点-斜杠 (../)”序列。 例如，序列 ../ 指的是目录结构中的上一级。 将这些序列串在一起，您就可以引用可以访问其他文件和目录的文件系统根目录。 

点点斜线序列有很多合法用途，因此如果任何使用它们的行为被标记为风险（正如您可能从 SAST 工具中看到的那样），那将会很烦人。 相反，Threat Stack AppSec Monitoring 会分析使用它的函数和在运行时传递给该函数的有效负载。 例如，在使用fs.open/read/write/etc.等命令的 Node.jsapplication中，可以检查传递给函数的有效负载是否存在目录路径编码或对敏感操作系统文件的引用。 带有恶意负载的危险功能将被标记为攻击，您的团队将立即收到通知。

全栈安全可观察性解决方案的一部分

攻击者不会考虑层级；他们不会只关注applications而忽略运行它们的容器或托管它们的云服务。 例如，RCE 攻击可能导致未经授权的进程在主机上运行。 或者路径遍历攻击可能会危及敏感的云主机凭证文件。 能够检测到这些和其他运行时application攻击非常重要，但至关重要的是在所有攻击面上实现安全可观察性，无论其复杂性或基础设施如何变化。 这就是 AppSec Monitoring 作为完整 Threat Stack Cloud Security Platform® 的一部分的强大功能。   

如果您想了解有关 Threat Stack 云安全平台的更多信息，包括其application安全功能，请随时注册演示。 我们的安全和合规专家将很乐意讨论贵组织的要求。