来自 DDOS 2022-01-14 06:30 的文章

游戏盾_ddos云防护_快速接入

游戏盾_ddos云防护_快速接入

我们是软件开发人员。这意味着我们是人类(到目前为止)。所有人都会犯错。这就是为什么你在世界上找不到一个产品没有任何缺陷或错误的软件开发人员。简单地说:错误发生了。这是正常的。

不正常的是没有试图找到和修复这些错误。这就是为什么我们在卡巴斯基付出了很多努力。我们在内部测试的几个阶段消除了产品中的大多数漏洞,我们有一个非常彻底的beta测试程序,涉及到很多人(包括我们的卡巴斯基俱乐部)。我们还实施了安全开发周期。所有这些都有助于我们最大限度地减少bug和漏洞的数量。

然而,无论预防措施多么彻底,小bug都会设法潜入——世界上没有任何软件产品能够在预防阶段完全摆脱它们。这就是为什么我们不仅在发布后继续关注它们,而且鼓励独立研究人员发现并报告它们。这包括与HackerOne一起创建我们的bug赏金计划,该计划为报告bug提供高达10万美元的奖励,并使用Disclose.io为研究人员建立安全港。我们邀请每一位研究人员,通过任何沟通渠道,向我们披露他们发现的任何缺陷或漏洞。

因此,今天我们感谢独立安全研究人员Wladimir Palant,他告诉我们一些产品中的一些漏洞。现在,我们将对Palant发现的漏洞、我们如何修复它们以及我们产品的当前状态进行说明。

为了提供安全的互联网连接,包括阻止广告和如何防cc攻击以及警告您恶意搜索结果,我们使用了浏览器扩展。当然,您可以拒绝安装此(或任何)扩展。我们的应用不会让你在互联网上没有保护,所以如果它感觉到扩展没有安装,华为ddos防御命令,它会将脚本注入到你访问的网页中,以监视它们是否存在潜在的威胁。在这种情况下,脚本和安全解决方案主体之间建立了一个通信通道。

Palant发现的大部分漏洞都在这个通信通道中。理论上,如果对手攻击了这个频道,它可以用来指挥主应用程序。帕兰特早在2018年12月就发现了影响卡巴斯基2019年互联网安全的问题,nginxddos攻击防御,并通过漏洞悬赏计划向我们报告。我们立即着手解决这个问题。

帕兰特的另一个发现是利用浏览器扩展和产品之间的通信通道进行潜在的攻击,例如访问卡巴斯基安全解决方案的产品ID、产品版本和操作系统版本等重要数据。我们也解决了这个问题。

最后,c't杂志的Ronald Eikenberg发现了一个漏洞,该漏洞向卡巴斯基产品用户访问的网站披露了唯一的ID。我们在7月份修复了它,ddos攻击防御方案,到了8月份,它已经覆盖了我们所有的用户。Palant后来发现了另一个类似的漏洞,并于2019年11月修复了该漏洞。

使用我们上面描述的脚本在反病毒领域并不少见;然而,并不是每个供应商都使用它们。至于我们,只有在您不启用浏览器扩展的情况下,我们才使用脚本注入技术。我们建议使用扩展名。但是,即使您决定不使用它,我们仍然尽最大努力为您提供良好的用户体验和保护。

脚本主要用于增强用户体验,例如,它们有助于阻止横幅,但除此之外,它们还保护用户免受动态网页的攻击,如果禁用卡巴斯基保护扩展,则无法检测到。此外,反钓鱼和家长控制等组件依赖于脚本来工作。

多亏了Wladimir Palant,怎么防御好cc,我们能够显著加强对脚本或插件与主应用程序之间的通信通道的保护。

截至目前,所有发现的漏洞都已关闭,攻击面明显缩小。无论您是否使用卡巴斯基保护浏览器扩展,我们的产品都是安全的。

我们要感谢所有帮助我们发现产品缺陷的人。部分是由于他们的努力,我们的解决方案仍然是最好的,正如不同的独立测试实验室所证明的那样,cc防御规则,并邀请所有安全研究人员参与我们的漏洞奖励计划。

没有什么是绝对安全的。然而,通过与安全研究人员合作,尽快修复漏洞,并不断改进我们的技术,我们可以为我们的用户提供最强的保护,以抵御所有可能的威胁。