九游老哥

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务九游老哥网站清静监测服务Websafe 九游老哥黑洞云洗濯服务 CCSS 九游老哥网站云防护服务 WCP 九游老哥威胁情报中心NTI 九游老哥科技威胁情报云端解决计划九游老哥科技威胁情报外地解决计划九游老哥威胁检测与响应服务MDR 九游老哥外部攻击面治理服务EASM 九游老哥轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营九游老哥云九游老哥云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京九游老哥公益基金会鲲鹏基金产品清静软件升级

返回列表

RSA 立异沙盒盘货| Tala Security——高效检测和防护种种针对WEB客户端的攻击

2020-02-18

2020年2月24日-28日，网络清静行业盛会RSA Conference将在旧金山拉开帷幕。九游老哥君已经相继向各人先容了入选今年立异沙盒的十强首创公司：Elevate Security 、Sqreen和Tala Security三家厂商，下面将先容的是：Tala Security。

一、公司先容

Tala Security公司建设于2016年，总部位于美国加利福尼亚的弗里蒙特。其首创人兼CEO——Aanand Krishnan曾是Symantec（赛门铁克）产品治理的高级总监。据owler.com的数据显示，Tala Security自建设以来已经由4轮融资，总共筹集了850万美元。但crunchbase.com的数据则批注Tala Security已经获得了1460万美元的融资。

二、产品先容

Tala Security的官方网站上展示的唯逐一款产品是“Client-side Web Application Firewall”（下简称“Tala WAF”）。产品宣称“具有强盛的预防能力、自动化决议能力和无与伦比的性能，可抵御XSS、Magecart，以及最主要的，抵御明天的攻击”。凭证官方网站的宣传，Tala WAF的主要功效是检测和防护种种针对WEB客户端（浏览器）的攻击。

九游老哥·(中国)俱乐部官方网站

三、手艺剖析

注：以下所有结论均通过果真资料整理推测得出，并非基于对现实产品的研究，可能并不反应Tala WAF产品的现真相形，仅供参考。

01

整体运作机制

从官方白皮书来看，Tala WAF的运作主要依赖一些浏览器内置清静机制。详细包括：

1、内容清静战略（CSP）

由服务端指定战略，客户端执行战略，限制网页可以加载的内容；

一样平常通过“Content-Security-Policy”响应首部或“<meta>”标签举行设置。

2、子资源完整性（SRI）

对网页内嵌资源（剧本、样式、图片等等）的完整性断言。

3、iFrame沙盒

限制网页内iframe的表单提交、剧本执行等操作。

4、Referrer战略

阻止将网站URL通过“Referer”请求首部泄露给其它网站。

5、HTTP严酷传输清静（HSTS）

一准时间内强制客户端使用SSL/TLS会见网站，并榨取用户忽略清静忠言。

6、证书装订（暂译，Certificate Stapling）

服务端会在SSL/TLS协商中附带OCSP信息，以证实服务端证书的有用性。

若是能够获得准确设置，CSP等客户端清静机制无疑是应对种种客户端侧攻击的有用要领。官方白皮书中称Tala WAF的焦点功效是“在所有现代浏览器中动态安排并一连调解基于标准的清静步伐”。

由此推测，Tala WAF的要害机制有二：

1、自动化天生和调解上述清静战略

和大部分的ACL一样，要严酷设置这些清静机制并不是一件容易的事情。

2、网络和剖析这些清静战略的执行纪录

由于CSP具有Report机制，要网络其执行纪录应该不算重大。

最要害的部分是天生清静战略和剖析执行纪录的算法。对此，但九游老哥君没能找到任何有价值的果真信息。仅有的叙述来自官方网站：“Tala使用AI辅助剖析引擎来评估网页系统结构和集成的50多个奇异指标”。至于详细使用了何种模子则不得而知。

02

细节剖析

特殊声明：我们不会在未经授权的情形下对他人网站接纳任何进攻性行为。以下测试仅通过审查和修改外地通讯来测试浏览器CSP的实现效果，并不可批注Tala Security网站保存或不保存任何清静误差。

直接会见Tala Security官方网站，可见该网站的CSP设置如下：

九游老哥·(中国)俱乐部官方网站

可见是一组很是重大的CSP，我们推测Tala Security官方网站或许使用了Tala WAF。若是推测属实，其中有一些细节值得注重：

CSP响应首部

我们首先发明，响应首部中设置的是“Content-Security-Policy-Report-Only”而非“Content-Security-Policy”。这意味着纵然页面元素/剧本违反了CSP也不会被阻止，而是仅仅爆发一条Report信息：

九游老哥·(中国)俱乐部官方网站

九游老哥·(中国)俱乐部官方网站

上图可见，纵然<script>标签缺少“nonce”属性也能正常执行，只是会爆发Report信息。

由此意料，Tala WAF可能也无法以很是高的信心天生严酷的CSP（而不影响网站正常营业）。Tala WAF可能会像态势感知系统那样，针对网络到的CSP Report信息使用某种异常检测模子。

CSP中的report-uri

Tala Security官方网站的report-uri指向站外地点“https://pilot.tsrs.cloud/r/7d9925a3e964e7eb0ed12fa82e9a3f891ae28372”。该网址不知为何无法正常会见，也正好阻止测试历程爆发虚伪告警。九游老哥君多次实验删除Cookie并替换IP地点后刷新页面，但report-uri始终稳固。

由此推测，Tala WAF可能是以云服务形式提供的，report-uri中一长串的hash可能唯一标识一个被�；さ耐�。云云一来，用户外地就能实现轻量化安排，且险些不爆发性能消耗（官网宣称的“no signatures, no agents”），但也意味着用户的CSP Report信息可能会被Tala Security公司网络。

CSP的粒度

Tala Security官方网站的大宗页面（包括HTML、JS、CSS、甚至是图片资源和302跳转响应）都使用了相同的CSP设置。以下为测试中的部分纪录：

九游老哥·(中国)俱乐部官方网站

可见除了script-src中随机天生的nonce值之外，其它字段所有相同。

由此推测，Tala WAF可能是对网站整体的资源引用情形举行剖析，并爆发一组静态战略，随后通过修改WEB中心件设置等方法应用到整个网站中。按理说，这是一种相对粗粒度的要领，当网站营业组成较量重大时，可能难以有用施展防护效果。但也不可扫除有其它机制来顺应这些场景。

四、特征比照

01

优势和立异点

Tala WAF似乎并不关注像SQL注入、恣意文件上传这样的误差攻击，但它能够将客户端清静机制活性化，从而检测和阻止大部分常见的对客户端攻击，诸如XSS、挖矿剧本、广告注入等。纵然攻击者能够运用种种五花八门的bypass技巧，在一套严酷设置的CSP眼前也会非�？嗄�。

九游老哥君曾在应急响应中多次遇到通过推广平台提倡的网页改动攻击，其中大大都属于黑产流量变现（可以简朴明确为薅羊毛的一种）。由于广告署理商层层外包，纵然是一些看上去很正规的推广平台也可能会提供包括恶意代码的广告内容。这些恶意代码会嵌入到所有泛起该广告的网站页面上，并大面积攻击会见这些网站页面的用户。现在的通例WEB应用防护系统很难与之对抗，但Tala WAF的要领理应可以有用提防此类攻击。

又例若有些XSS的Payload不会泛起在通讯流量中，一种常见情形是URL中“#”后面的部分（通常用来控制页面自动转动定位）所组成的DOM型XSS。通例网络防护依赖对通讯流量的检查，因此很难发明这种XSS。但准确设置的CSP能够阻止此类误差使用。

整体来说，Tala WAF相对适合互联网行业，尤其是电商零售领域的网站，由于这些网站往往具有大宗的第三方资源引用。Tala WAF可能会成为现有WEB清静防护系统中一个很是主要的增补。

02

劣势与挑战

从果真的资料来看，Tala WAF并不具备对通例误差入侵的防御能力，因此可能不适合单独安排使用。Tala WAF可能也难以在企业内网情形中施展优势——内部网站的内容资源大多可控性很高，且接入云服务也很难题。

别的，Tala Security也面临一些外部挑战。引用Gartner高级总监剖析师Dionisio Zumerle的看法：“Tala Security面临来自提供替换要领的供应商的竞争。一些应用内置�；さ牟シ牌魈峁┛突Ф薐avaScript监控。一些RASP和WAF供应商将CSP和SRI功效作为端到端应用程序清静平台的一部分来提供。别的，网站运营者对客户端应用程序的�；ひ馐镀毡槿狈�。”

五、总结

恒久以来，大大都网站清静建设都着重于避免服务器被入侵或泄露数据，而Tala Security的头脑确实填补了现有系统的一个短板，当之无愧为2020年度RSA大会的10大Sandbox立异厂商之一。不但仅是CSP，怎样能够快速而准确地调解种种清静战略设置，怎样能够最大化地使用好现有的防护机制，都是值得我们深入思索的问题。

· 参考链接 ·

[1] https://www.talasecurity.io/

<<上一篇

RSA 立异沙盒盘货| AppOmni——面向SaaS数据走漏的一连性监控和告警防护

>>下一篇

“硬核”阻击，来自九游老哥非接触网络清静监控与防护计划的抗疫实力

?

您的联系方法

购置热线

提交项目需求

接待加入九游老哥科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

九游老哥·(中国)俱乐部官方网站

九游老哥·(中国)俱乐部官方网站

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

九游老哥科技社区

九游老哥科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于九游老哥: 公司先容; 公司声誉; 九游老哥书橱; 九游老哥新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系九游老哥: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: 九游老哥云; 九游老哥威胁情报中心NTI; TechWorld手艺嘉年华; 北京九游老哥公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS 九游老哥科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号