转载自金汤智库:https://www.janusec.com/articles/opensource/1581846714.html
Janusec Application Gateway(应用网关)V0.9.5版本(2020.02.16)提供了Web SSH功能,效果图如下:
Janusec Web SSH
那么该Web SSH是否安全,与通常所说的Web Shell有什么区别?让我们一探究竟。
1.Web SSH的安全机制
(1)身份认证
Web SSH需要先通过应用层的身份认证,也就是Janusec Application Gateway的后台管理身份的认证,这里的身份认证采用了前端慢速加盐散列的方式,后端做了第二次高强度加盐散列。
在访问目标服务器时,还需要使用目标服务器的账号进行认证。
(2)访问控制
Janusec应用网关起到堡垒机的作用,且使用内部IP进行连接(避免高危端口对外网开放)。目标主机可以限定访问来源,执行来源访问控制,降低风险。
(3)可审计
Web SSH所执行的命令输入记录在应用网关的日志中。
2.与Web Shell的区别
首先,从性质上看,Web Shell是植入目标主机的高危脚本或网页木马,通过执行高危函数调用操作系统命令,是需要防止出现的恶意代码。
而Web SSH,是在应用网关实现了两个通道:
(1)SSH通道,Janusec应用网关作为SSH客户端,通过标准的SSH协议访问目标主机
(2)Web Socket通道,将用户浏览器跟Janusec应用网关对接起来。该通道接收用户的输入,传递给SSH通道,并将SSH通道输出返回给用户浏览器。
其次,Web SSH没有使用高危函数,也不能从含有漏洞的应用程序中发起调用。
3.小结
从原理上看,Web SSH实现了安全的身份认证、访问控制、审计等,可作为安全运维的基础设施。
网友评论