虽然无服务器技术的使用越来越广泛,但在涉及无服务器安全问题方面却缺乏了解。Protego Labs希望通过发布免费提供的开源工具来帮助企业了解无服务器安全性,这是一项挑战。

无服务器(也称为功能即服务)是一种技术,它使组织能够以事件驱动的方式运行功能,而不需要长时间运行的持久性服务器。最受欢迎的无服务器平台是Amazon Web Services(AWS)Lambda,它在基础架构层的云中提供一些默认安全功能。尽管AWS提供了一些安全功能,但在无服务器方面,组织仍需要了解应用层风险。Protego Labs该死的易受攻击的无服务器应用程序(DVSA)是一种有目的的不安全无服务器应用程序和工具集,它使组织能够深入了解如何正确保护无服务器部署。

“我们的客户正在寻找一种方法来帮助更好地了解无服务器的真正风险,”Protego Labs安全研究负责人Tal Melamed告诉eWEEK。“因此我们决定推出DVSA,它试图成为一个真正的无服务器部署,它与各种云资源交互,包括数据库,这是无服务器应用程序的典型特征。”

Protego Labs成立于2017年,致力于提供无服务器安全性。DVSA是开源技术,Protego实验室正在为开放式Web应用程序安全项目(OWASP)做贡献,项目代码托管在GitHub上,本周还有一个在线托管版本将在serverless.fail上首次亮相。DVSA利用OWASP无服务器十大列表项目,该项目提供了组织需要考虑的最常见的无服务器缺陷和错误配置的列表。

“无服务器服务运行代码而无需配置或管理服务器,代码仅在需要时执行,”OSAWP Serverless Top 10项目页面说明。“但是,即使这些应用程序在没有托管服务器的情况下运行,它们仍然会执行代码。如果这些代码以不安全的方式编写,它仍然可能容易受到应用程序级攻击。”

无服务器漏洞

Melamed解释说,DVSA有一条直接路径可以帮助用户了解如何以及在何处查找属于项目一部分的漏洞。主要的无服务器风险包括注入攻击。

“注入攻击在Web应用程序领域是众所周知的,但是当涉及无服务器时,注入攻击并非来自开发人员可能期望的相同位置,”Melamed说。

在注入攻击中,某种形式的未授权或意外内容或数据被注入应用程序流。最常见的注入攻击向量是SQL注入,当黑客输入不同的代码字符串来利用数据库时。在常规Web应用程序中,注入攻击来自用户输入作为入口点。Malemed说,无服务器,注入攻击可能来自无服务器函数调用执行的事件。Malemed说,潜在的无服务器注入攻击的例子包括发送带有信息或可能上传文件的未经授权的电子邮件。

功能权限是无服务器的另一个潜在漏洞区域。Melamed表示,在无服务器之前,通常在基础架构级别管理权限,并确定给定应用程序可能需要的访问权限。使用AWS Lambda上的无服务器,可以为每个功能授予其在帐户中可以执行的操作的权限。因此,Malemed说开发人员有责任确保他们分配正确的权限。

“我们在实践中看到的是,公司为开发人员创建了权限模板,并告诉他们开发的每个功能都应该由模板覆盖,”Melamed说。“模板通常涵盖帐户内的数百个权限和操作。”

Melamed补充说,大多数无服务器功能不需要权限模板提供的完整权限。通过提供比无服务器功能需要更多的权限,攻击者可以利用更大的攻击面。从另一个角度看权限,Melamed说,组织还有机会通过将各个功能限制为只具有所需的非常具体的权限来实现更好的细化权限并减少攻击面。

“无服务器可能是一种风险,但它也可能是提高安全性的一个机会,”他说。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。