Phát hiện các mối đe dọa bảo mật trên web thông qua API

Web chứa đầy các trang độc hại. Thật không may, chúng cũng có thể tồn tại trên các trang web của khách hàng / nhà cung cấp của bạn.


Không có doanh nghiệp nào ngày nay không có một số tích hợp cung cấp hoặc cung cấp đầu vào cho một trang web khách hàng hoặc nhà cung cấp. Tất nhiên, doanh nghiệp của bạn đã thắng, tồn tại mà không có các dịch vụ này, nhưng đôi khi nó là mối đe dọa vì các dịch vụ này. Các trang web bên ngoài mà bạn tương tác có thể có nội dung độc hại trên chúng (dù được cài đặt theo mục đích hoặc bị xâm phạm bởi bên thứ ba) và nếu nội dung đó tìm đến nơi được xác định trước, hậu quả có thể là thảm họa.

Chúng tôi không thể quét các trang web cho các trang độc hại bằng tay?

Có vẻ như một nhà phát triển có thẩm quyền sẽ có thể quét các trang để tìm lỗ hổng. Thật không may, điều này thậm chí không gần với thực tế vì nhiều lý do:

  • Các nhà phát triển không chuyên phát hiện / bảo mật. Chuyên môn của họ là xây dựng phần mềm phức tạp bằng cách kết hợp nhiều hệ thống con nhỏ hơn; nói cách khác, đơn giản là họ không có bộ kỹ năng.
  • Ngay cả khi bạn bắt gặp một nhà phát triển đủ tài năng, nhiệm vụ đơn giản sẽ là quá nhiều. Một trang web giàu tính năng điển hình chứa hàng ngàn dòng mã – ghép tất cả chúng lại với nhau để tạo ra bức tranh lớn hơn cũng như các lỗ hổng nhỏ không phải là một cơn ác mộng. Bạn cũng có thể ra lệnh cho ai đó ăn cả một con voi cho bữa trưa!
  • Để giảm thời gian tải trang, các trang web thường nén và thu nhỏ các tệp CSS và JavaScript của họ. Điều này dẫn đến một mớ hỗn độn mã mà nó không thể đọc được.

Bạn nghĩ mã này làm gì? : kappa: (Nguồn elgg.org)

Nếu điều này vẫn có thể đọc được, thì đó là vì những linh hồn tốt ở đó quyết định bảo tồn các tên biến cho một bối cảnh rộng lớn. Hãy thử mã nguồn cho jQuery, thứ mà ai đó có thể lưu trữ trên trang web của họ và giả mạo (hai dòng ở đâu đó trong mớ hỗn độn này):

Chưa kể, nguồn đó gần 5.000 dòng mã. ��

Đây chỉ là một kịch bản duy nhất mà chúng tôi nói đến. Một trang web thường có 5-15 tập lệnh được đính kèm và có khả năng bạn có thể làm việc với tổng số 10-20 trang web. Hãy tưởng tượng phải làm điều này mỗi ngày. . . Hoặc tệ hơn, một vài lần một ngày!

Rất may, nó có thể quét URL nhanh chóng và dễ dàng thông qua các API. Bạn có thể quét không chỉ các trang web, mà cả các tệp được cung cấp cho bạn để tải xuống. Hãy cùng xem một số công cụ API giúp bạn làm điều này. Và ồ, vì đây là các API, nên các nỗ lực của nhà phát triển của bạn sẽ được phục vụ tốt hơn nhiều nếu bạn yêu cầu họ xây dựng một công cụ quét trang web bằng các API này. ��

Rủi ro web của Google

Không có gì ngạc nhiên khi một người kiểm tra trang web sẽ đến từ công ty thực tế sở hữu Internet (ý tôi là tất cả các trang web của nó). Nhưng có một cái bẫy: Rủi ro web của Google vẫn đang trong giai đoạn thử nghiệm và có sẵn trên yêu cầu chỉ có. Đang trong giai đoạn thử nghiệm đồng nghĩa với việc thay đổi nhiều hơn.

Tuy nhiên, do API khá đơn giản, bất kỳ thay đổi nào cũng có thể được nhà phát triển của bạn giải quyết bằng cách sử dụng công cụ giám sát API và một vài phút thời gian phát triển. ��

Sử dụng API cũng siêu dễ dàng. Để kiểm tra một trang bằng cách sử dụng dòng lệnh, chỉ cần gửi yêu cầu như sau:

cuộn tròn -H "Loại nội dung: ứng dụng / json" "https://webrisk.googleapis.com/v1beta1/uris:search?key=YOUR_API_KEY&mối đe dọaTypes = MALware&uri = http% 3A% 2F% 2Ftestsafebrowsing.appspot.com% 2Fs% 2Fmalware.html"

Nếu yêu cầu thành công, API sẽ trả lời lại với loại lỗ hổng trên trang:

{
"mối đe dọa": {
"mối đe dọa": [
"PHẦN MỀM"
],
"hết hạn": "2019-07-17T15: 01: 23.045123456Z"
}
}

Như bạn có thể thấy, API xác nhận rằng trang được biết có chứa phần mềm độc hại.

Xin lưu ý rằng API rủi ro web của Google không thực hiện chẩn đoán theo yêu cầu trên URL hoặc tệp bạn chọn. Nó tư vấn một danh sách đen được Google duy trì dựa trên các kết quả tìm kiếm và báo cáo và báo cáo xem URL có nằm trong danh sách đen đó hay không. Nói cách khác, nếu API này nói rằng URL là an toàn, thì nó sẽ an toàn khi cho rằng API đó khá an toàn, nhưng không có gì đảm bảo.

VirusTotal

VirusTotal là một dịch vụ thú vị khác mà bạn có thể sử dụng để quét không chỉ URL mà cả các tệp riêng lẻ (theo nghĩa đó, tôi đặt nó trên Google Web Risk về tính hữu dụng). Nếu bạn rất muốn dùng thử dịch vụ, hãy truy cập trang web và ngay trên trang chủ, có một tùy chọn để bắt đầu.

Mặc dù VirusTotal có sẵn dưới dạng một nền tảng miễn phí được xây dựng và quản lý bởi một cộng đồng sôi động, nhưng nó cung cấp một phiên bản API thương mại. Tại đây, tại sao bạn lại muốn trả tiền cho dịch vụ cao cấp:

  • Tỷ lệ yêu cầu linh hoạt và hạn ngạch hàng ngày (trái ngược với bốn yêu cầu mỗi phút cho API công khai)
  • Tài nguyên đã gửi được quét bởi VirusTotal bởi phần mềm chống vi-rút của họ và thông tin chẩn đoán bổ sung được trả về.
  • Thông tin dựa trên hành vi về các tệp bạn gửi (các tệp sẽ được đặt trong các môi trường hộp cát khác nhau để theo dõi các hoạt động đáng ngờ)
  • Truy vấn cơ sở dữ liệu tệp VirusTotal cho các tham số khác nhau (các truy vấn phức tạp được hỗ trợ)
  • SLA nghiêm ngặt và thời gian phản hồi (các tệp được gửi tới VirusTotal thông qua API công khai được xếp hàng và mất một thời gian đáng kể để phân tích)

Nếu bạn sử dụng API VirusTotal riêng tư, đó có thể là một trong những khoản đầu tư tốt nhất bạn từng thực hiện trong một sản phẩm SaaS cho doanh nghiệp của mình.

Scanii

Một đề xuất khác cho API quét bảo mật là Scanii. Nó có một API REST đơn giản có thể quét các tài liệu / tệp đã gửi để tìm sự hiện diện của các mối đe dọa. Hãy nghĩ về nó như một trình quét virus theo yêu cầu có thể chạy và thu nhỏ dễ dàng!

Dưới đây là những món quà Scanii cung cấp:

  • Có thể phát hiện phần mềm độc hại, tập lệnh lừa đảo, nội dung spam, nội dung NSFW (Không an toàn cho công việc), v.v..
  • Nó được xây dựng trên Amazon S3 để dễ dàng mở rộng và lưu trữ tệp không có rủi ro.
  • Phát hiện văn bản gây khó chịu, không an toàn hoặc có khả năng gây nguy hiểm bằng hơn 23 ngôn ngữ.
  • Một cách tiếp cận đơn giản, không rườm rà, tập trung vào quét tệp dựa trên API (nói cách khác, không có các tính năng hữu ích trực tuyến không cần thiết)

Điều tốt thực sự là Scanii là một công cụ meta; nghĩa là, nó không thực hiện quét một mình nhưng sử dụng một bộ công cụ cơ bản để làm việc. Nó có một tài sản lớn khi bạn không phải gắn bó với một công cụ bảo mật cụ thể, điều đó có nghĩa là không cần phải lo lắng về các thay đổi API bị hỏng và không có gì.

Tôi thấy Scanii là một lợi ích lớn cho các nền tảng phụ thuộc vào nội dung do người dùng tạo. Một trường hợp sử dụng khác là quét các tệp được tạo bởi dịch vụ của nhà cung cấp mà bạn không thể tin tưởng 100%.

Metadefender

Đối với một số tổ chức, quét tệp và trang web tại một điểm cuối duy nhất là không đủ. Họ có một luồng thông tin phức tạp và không có điểm cuối nào có thể bị xâm phạm. Đối với những trường hợp sử dụng, Metadefender là giải pháp lý tưởng.

Hãy nghĩ về Metadefender như một người gác cổng hoang tưởng nằm giữa tài sản dữ liệu cốt lõi của bạn và mọi thứ khác, bao gồm cả mạng. Tôi nói là hoang tưởng, vì đó là triết lý thiết kế đằng sau Metadefender. Tôi có thể mô tả điều này tốt hơn họ, vì vậy hãy vào đây:

Hầu hết các giải pháp an ninh mạng đều dựa vào phát hiện là chức năng bảo vệ cốt lõi của chúng. Vệ sinh dữ liệu MetaDefender không phụ thuộc vào phát hiện. Nó giả định rằng tất cả các tệp có thể bị nhiễm và xây dựng lại nội dung của chúng bằng quy trình an toàn và hiệu quả. Nó hỗ trợ hơn 30 loại tệp và xuất ra các tệp an toàn và có thể sử dụng. Vệ sinh dữ liệu cực kỳ hiệu quả trong việc ngăn chặn các cuộc tấn công nhắm mục tiêu, ransomware và các loại mối đe dọa phần mềm độc hại đã biết và chưa biết khác.

Có một số tính năng gọn gàng mà Metadefender cung cấp:

  • Ngăn ngừa mất dữ liệu: Nói một cách đơn giản, đây là khả năng ghi đè và bảo vệ thông tin nhạy cảm được phát hiện bên trong nội dung tệp. Ví dụ: biên nhận PDF có số thẻ tín dụng hiển thị sẽ bị Metadefender che khuất.
  • Triển khai tại địa phương hoặc trên đám mây (tùy thuộc vào mức độ hoang tưởng của bạn!).
  • Nhìn qua hơn 30 loại định dạng lưu trữ (zip, tar, rar, v.v.) và 4.500 thủ thuật giả mạo loại tệp.
  • Triển khai đa kênh – chỉ bảo mật các tệp hoặc kiểm soát email, mạng và kiểm soát đăng nhập.
  • Quy trình công việc tùy chỉnh để áp dụng các loại đường ống quét khác nhau dựa trên các quy tắc tùy chỉnh.

Metadefender bao gồm hơn 30 động cơ nhưng trừu tượng hóa chúng đi một cách độc đáo, vì vậy bạn không bao giờ phải suy nghĩ về chúng. Nếu bạn là một doanh nghiệp vừa và lớn có thể đủ khả năng để gặp ác mộng về bảo mật, thì Metadefender là một lựa chọn tuyệt vời.

Urlscan.io

Nếu bạn chủ yếu làm việc với các trang web và luôn muốn có cái nhìn sâu hơn về những gì họ làm trong hậu trường, Urlscan.io là một vũ khí tuyệt vời trong kho vũ khí của bạn.

Lượng thông tin mà Urlscan.io bỏ ra không có gì ấn tượng. Trong số những thứ khác, bạn có thể thấy:

  • Tổng số địa chỉ IP được liên hệ bởi trang.
  • Danh sách địa lý và tên miền mà trang đã gửi thông tin tới.
  • Các công nghệ được sử dụng ở mặt trước và phụ trợ của trang web (không có tuyên bố chính xác nào được đưa ra, nhưng nó chính xác đến mức đáng báo động!).
  • Thông tin chứng chỉ tên miền và SSL
  • Tương tác HTTP chi tiết cùng với tải trọng yêu cầu, tên máy chủ, thời gian phản hồi và nhiều hơn nữa.
  • Chuyển hướng ẩn và yêu cầu thất bại
  • Liên kết đi
  • Phân tích JavaScript (các biến toàn cục được sử dụng trong các tập lệnh, v.v.)
  • Phân tích cây DOM, hình thức nội dung và hơn thế nữa.

Ở đây, mọi thứ trông như thế nào:

API đơn giản và dễ hiểu, cho phép bạn gửi URL để quét, cũng như kiểm tra lịch sử quét của URL đó (đó là quét bởi những người khác, nghĩa là). Tất cả trong tất cả, Urlscan.io cung cấp nhiều thông tin cho bất kỳ doanh nghiệp hoặc cá nhân nào.

THÀNH CÔNG

SUCURI là một nền tảng nổi tiếng khi quét các trang web trực tuyến để tìm các mối đe dọa và phần mềm độc hại. Những gì bạn có thể không biết là họ có một API REST đồng thời, cho phép khai thác cùng một sức mạnh theo chương trình.

Có rất nhiều điều để nói ở đây, ngoại trừ API đơn giản và hoạt động tốt. Tất nhiên, Sucuri không bị giới hạn ở một API quét, vì vậy trong khi bạn sử dụng nó, tôi đã khuyên bạn nên kiểm tra một số tính năng mạnh mẽ của nó như quét phía máy chủ (về cơ bản, bạn cung cấp thông tin đăng nhập FTP và đăng nhập và quét tất cả các tệp để tìm kiếm mối đe dọa!).

Quttera

Mục cuối cùng của chúng tôi trong danh sách này là Quttera, trong đó cung cấp một cái gì đó hơi khác nhau. Thay vì quét tên miền và gửi các trang theo yêu cầu, Quttera cũng có thể thực hiện giám sát liên tục, giúp bạn tránh các lỗ hổng zero-day.

API REST đơn giản và mạnh mẽ và có thể trả về một vài định dạng hơn JSON (ví dụ XML và YAML). Toàn bộ đa luồng và đồng thời được hỗ trợ trong các lần quét, cho phép bạn chạy song song nhiều lần quét toàn diện. Vì dịch vụ này hoạt động trong thời gian thực, nên nó có giá trị đối với các công ty tham gia vào các dịch vụ quan trọng trong nhiệm vụ, trong đó thời gian chết có nghĩa là ngừng hoạt động.

Phần kết luận

Các công cụ bảo mật như những công cụ được đề cập trong bài viết này chỉ đơn giản là một tuyến phòng thủ bổ sung (hoặc thận trọng, nếu bạn muốn). Cũng giống như một chương trình chống vi-rút, có rất nhiều thứ có thể làm được, nhưng ở đó, không có cách nào chúng có thể cung cấp phương pháp quét thất bại. Điều đó chỉ đơn giản là vì một chương trình được viết với mục đích độc hại cũng giống như chương trình được viết cho tác động tích cực – cả hai đều yêu cầu tài nguyên hệ thống và thực hiện các yêu cầu mạng; Ma quỷ nằm trong bối cảnh, đó là cách để các máy tính hoạt động thành công.

Điều đó nói rằng, các API này cung cấp một vỏ bảo mật mạnh mẽ, đáng mong đợi trong hầu hết các trường hợp – cả cho các trang web bên ngoài và của riêng bạn! ��

THẺ

  • API

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map