2020年2月24日至28日,网络安全行业盛会RSA大会将在旧金山拉开帷幕。绿盟科技为您介绍了入选本年度创新沙盒的十大初创公司:ElevateSecurity、Sqreen和TalaSecurity。以下是TalaSecurity。一、公司简介TalaSecurity成立于2016年,总部位于美国加州弗里蒙特。其创始人兼首席执行官——AanandKrishnan曾任赛门铁克(Symantec)产品管理高级总监。据owler.com数据显示,TalaSecurity自成立以来已经历4轮融资,共融资850万美元。但据crunchbase.com称,TalaSecurity已经筹集了1460万美元。二、产品介绍TalaSecurity官网唯一展示的产品是“客户端Web应用防火墙”(以下简称“TalaWAF”)。该产品声称“针对XSS、Magecart以及最重要的是未来攻击的强大预防、自动决策和无与伦比的性能。”根据官网的宣传,TalaWAF的主要功能是检测和防护针对WEB客户端(浏览器)的各种攻击。3.技术分析注:以下所有结论均来自公开资料,并非基于对实际产品的研究。它们可能无法反映TalaWAF产品的实际情况,仅供参考。一、整体运行机制根据官方白皮书,TalaWAF的运行主要依赖于一些浏览器内置的安全机制。具体包括:()内容安全策略(CSP)由服务器指定,客户端执行该策略限制网页可以加载的内容;一般通过“Content-Security-Policy”响应头或“”标签进行配置。(2)子资源完整性(SRI)断言Web嵌入式资源(脚本、样式、图片等)的完整性。(3)iFrame沙箱限制网页中iframe的表单提交、脚本执行等操作。(4)Referrer策略避免通过“Referer”请求头将网站URL泄露给其他网站。(5)HTTPStrictTransportSecurity(HSTS)强制客户端在一定时间内使用SSL/TLS访问网站,禁止用户忽略安全警告。(6)证书装订(temporarytranslation,CertificateStapling)服务器会在SSL/TLS协商中附加OCSP信息,以验证服务器证书的有效性。如果配置得当,CSP等客户端安全机制无疑是应对各种客户端攻击的有效途径。官方白皮书称,TalaWAF的核心功能是“在所有现代浏览器中动态部署和持续调整基于标准的安全措施”。据推测,TalaWAF的关键机制有两个:上述安全策略的自动生成和调整:与大多数ACL一样,严格配置这些安全机制并不是一件容易的事。收集分析这些安全策略的执行记录:CSP既然有上报机制,收集它的执行记录应该不复杂。最关键的部分是生成安全策略和分析执行记录的算法。对此,绿盟君未能找到任何有价值的公开信息。唯一的叙述来自官方网站:“Tala利用人工智能辅助分析引擎评估网页架构和集成的50多个独特指标”。目前尚不清楚具体使用了哪种模型。二、详细分析特别声明:未经授权,我们不会对他人网站采取任何攻击性行为。以下测试仅通过查看和修改本地通信来测试浏览器CSP的执行效果,并不代表TalaSecurity网站存在或不存在任何安全漏洞。直接访问TalaSecurity官网,可以看到该网站的CSP配置如下:可以看出是一套非常复杂的CSP,我们猜测TalaSecurity官网很可能使用的是TalaWAF。如果猜测属实,还有一些细节值得注意:(1)CSP响应头我们首先发现响应头中的配置是“Content-Security-Policy-Report-Only”而不是“Content-Security-Policy”.这意味着即使页面元素/脚本违反了CSP,也不会被阻止,而只会生成报告消息:如上图所示,即使
