绿色互联网和网站安全.ppt
75页
WEB应用安全和数据库安全的领航者! 杭州安恒信息技术有限公司 目录 公司简介 WEB应用安全防护及发展趋势 构筑绿色互联网 明鉴扫描系列明御防护系列 专业安全服务 公安、运营商、金融、能源、政府、 电子商务、企事业…… WEB应用弱点扫描器 数据库弱点扫描器 WEB应用防火墙、数据库审计…. 风险评估、网站监控、应急响应…. 公司概况 杭州安恒信息技术有限公司 1 2 3 4 5 归国留学生创办的 高新技术企业 致力于为客户提供专业 WEB应用及数据库安全解决方案 机构分布: 杭州、北京、上海、广州 深圳、成都、南昌、长沙 核心成员来自: 国内外著名的安全厂商 注册资金:1800万 员工总数:200多 公司规模 公司资质和荣誉 u中国信息安全认证中心信息安全二级应急处理服务资质要求 uISO9001:2008管理体系质量认证 u通过ISCCC认证 u通过涉密信息系统资质 u多项安全产品填补国内外技术空白 u拥有多项自主知识产权——计算机软件登记证书 2008北京奥运会安全产品和服务提供商 主要客户 企业 运营商 政 府 金融 政府机构 运营商 企业单位 金融行业 盛大网络、哇哈哈有限公司 松下、Oracle、Dell、中国联想…… 公安部11局、公安部第一、第三研究所 国家信息安全应急响应中心、中科院 北京奥组委、上海世博局、浙江省银监局 浙江省公安厅、通报中心、信通处 浙江省安平等保、电子测评所…… 浙江移动、浙江电信、江苏电信 广东联通、浙江联通、陕西移动 上海移动…… 主要客户 中信银行、浙商银行、温州银行 交通银行、杭州银行、嘉兴银行 杭州联合银行、浙江省信用联社 浙商证券、财通证券、中大期货…… • WEB安全研究成果 –群注风暴 –阿里旺旺远程溢出漏洞 – mail XSS –163 mail XSS –IBM Appscan ActiveX溢出漏洞 –Resin web server解析漏洞 目录 公司简介 WEB应用安全防护及发展趋势 WEB应用安全现状概述 通讯行业WEB应用安全现状概述 OWASP TOP 10漏洞概述 WEB应用安全防护体系 未来发展趋势与挑战 构筑绿色互联网 应用范围 任何基于B(browser)/S架构的信息系统 应用网站、邮件系统、企业办公系统 一般架构 浏览器 应用程序 数据库 服务器软件 应用特点 广泛性:应用广泛,覆盖各行各业 重要性:内部信息,组织宣传门户 脆弱性:直接面对用户,以应用系统为跳板,入 侵内部网络 WEB应用所面临的风险总览 系统层面 – 如低版本的IIS, Apache, 缺乏补丁的Windows. 应用层面 SQL 注入 跨站脚本(钓鱼攻击) 表单漏洞 上传漏洞 网页木马(恶意代码) …… 网络层面 - ARP欺骗攻击 网络安全现状触目惊心 2010年上半年网络安全报告 网络安全威胁已从传统的 •主机 攻击 •网络 攻击 •应用 攻击 黑客产业链 入侵企业 服务器 出售 收费传播流 氓软件 获取 金钱 拒绝服务攻 击 发送垃圾邮 件 盗取网上银行账户 组建僵尸网络 主动攻击勒 索网站 受雇攻击收 取佣金 批量入侵 门户网站 盗取虚拟财产 窃取机密信息( 图纸、财务报表 等) 盗取个人信息 盗取证券交易账户 出售 洗钱 •1、08年5.12地震后,某省级红十字网站被挂马 层出不穷的应用安全事件 •2、2008年9月,某大学生利用“灰鸽子”软件远程盗取网银用户的账号 和密码,窃取资金48万余元 •3、2008年12月,CCTV官方网站音乐频道被黑 层出不穷的应用安全事件 层出不穷的应用安全事件 •4、2009年6月,“楼市走向”继续成为网络热议话题,知名地产网站相 继被挂马 层出不穷的应用安全事件 •5、2009年7月,韩国总统府、国防部、外交通商部等政府部门和主 要银行、媒体网站7日晚同时遭分布式拒绝服务(DDos)攻击,瘫痪 时间长达4小时。
层出不穷的应用安全事件 •6、2009年8月 国内某政府网站被恐怖分子入侵 层出不穷的应用安全事件 •7、1月4日几名黑客入侵公安部物证鉴定中心的中英文网站,将原 网站内容替换,并且不停修改页面内容,甚至留下网络联络号码和 网名随后,网站被迫关闭直至第二天下午,网站才恢复正常, 造成恶劣影响 •8、2010年1月,百度首页被黑 层出不穷的应用安全事件 •9、2010年3月,微软官方网站被黑客攻击,页面嵌入成人网站内容 层出不穷的应用安全事件 •10、2010年3月18日,江苏廉政网首页被恶意人员篡改 返回 层出不穷的应用安全事件 •11、2010年6月30日,北京师范大学网站被挂马 12、2010年5月 当当网被黑 层出不穷的应用安全事件 13、2010年7月 网易旗下所有邮箱被黑 14、2010年7月 国土资源部 15、2010年7月 水利部 16、2010年7月 国防部下属中国军网 17、同月同日 国防部网站 18、同月同日 中国农业银行 19、同月同日 中国银行 攻击悄无声息 数据库 Web服务器 Authentication Data Dictionary Privileges/Roles Sensitive App Data OS file Access Buffer overflow DOS 防火墙 目录 公司简介 WEB应用安全防护及发展趋势 WEB应用安全现状概述 通讯行业WEB应用安全现状概述 OWASP TOP 10漏洞概述 WEB应用安全防护体系 未来发展趋势与挑战 构筑绿色互联网 当前通讯行业WEB方面漏洞分布 • SQL注入 • XSS跨站脚本 • 目录遍历 • 管理后台 • 信息泄漏 • 上传漏洞 • 源码泄漏 目录 公司简介 WEB应用安全防护及发展趋势 WEB应用安全现状概述 通讯行业WEB应用安全现状概述 OWASP TOP 10漏洞概述 WEB应用安全防护体系 未来发展趋势与挑战 构筑绿色互联网 2010 OWASP十大安全威胁 注入特殊字符过滤 不严 跨站脚本特殊字符过滤 不严 认证 漏洞与身份验证 和会话管理相关的应用功能执行不当 上传漏洞 应用程序允许用户直接引用外部数据,对所引用的数据未做任何 合法性检验 跨站请求伪造 强迫已登录用户的浏览 器向WEB应用发送包含身份验证 信息的 伪造HTTP请求 安全配置错误WEB应用的安全性取决于整个应用平台的安全配置 资源访问权 限控制不严某些隐藏的敏感信息页面的访问 未执行访问 控制检测 URL重定向网页URL重定向未进行合法性检验 加密存储不当WEB应用没有使用适当的加密算法或哈希值正确保护敏感数据 加密传输 不当应用程序对网络通信的加密措施频繁失效 2010 OWASP十大安全威胁—三大危害 • 网页篡改 • 网页挂马 • 网络仿冒(钓鱼网站) 2010 OWASP十大安全威胁--高危漏洞详解 • 注入漏洞 • 跨站脚本漏洞 • 认证漏洞 • 文件上传漏洞 2010 OWASP十大安全威胁--注入漏洞 • 漏洞说明 • 漏洞演示 2010 OWASP十大安全威胁--跨站脚本漏洞 • 漏洞说明 • 漏洞演示 2010 OWASP十大安全威胁--认证漏洞 • 漏洞说明 • 漏洞演示 2010 OWASP十大安全威胁--文件上传漏洞 • 漏洞说明 • 漏洞演示 目录 公司简介 WEB应用安全防护及发展趋势 WEB应用安全现状概述 通讯行业WEB应用安全现状概述 OWASP TOP 10漏洞概述 WEB应用安全防护体系 未来发展趋势与挑战 构筑绿色互联网 WEB应用安全防护体系 • 体系模型 •风险评 估 •安全检 查 •漏洞扫 描 •渗透测 试 •应急响 应 •安全加 固 •安全设 备 •配置加 固 •管理策 略 •安全培 训 •问 题 发 现 •问 题 处 理 •紧 急 情 况 •日 常 管 理 实现目标 • 事前安全扫描—及时了解系统安全状况 • 长期安全防护—专业安全产品,深度保护 系统安全 • 专业安全服务—7*24小时专业安全咨询 •安全扫描 •事前 •安全防护 •事中 •安全服务 •事后 目录 公司简介 WEB应用安全防护及发展趋势 WEB应用安全现状概述 通讯行业WEB应用安全现状概述 OWASP TOP 10漏洞概述 5年WEB应用安全防护体系 未来发展趋势与挑战 构筑绿色互联网 未来发展趋势与挑战 • 基于Web 2.0的攻击更加复杂和流行 • 僵尸网络团伙发起地盘争夺战 • 复杂的混合攻击将在国内占据主导,同时邮件和 Web也越来越多地被利用到复合式攻击当中 • 智能是下一个进攻点 • 云安全云检测检测 未来发展趋势与挑战 • 核心互联网应用面临严峻挑战, -- 例如说网上银行、网上营业厅 、网络购物、 网游等,很多恶意攻击者出于不良的目的对Web 服务器进行攻击,想方设法通过各种手段获取他 人的个人账户信息谋取利益。
• 黑客数量快速增长,黑客攻击技术快速发展,攻 击方式变幻无穷 • 已知的安全防御手段无法PK未知的漏洞和后门 • 传统的安全防御体系已经基本失效 • 应用安全的价值和数据安全的价值 • •6969 未来发展趋势与挑战 • 网络战争升级 2010年5月,美军网络司令部启动应对网络攻击 各国网络攻击应对组织纷纷成立 中国黑客威胁论升级 未来发展趋势与挑战 目录 公司简介 WEB应用安全防护及发展趋势 构筑绿色互联网 绿色上网主要采用技术 全球域名基础数据库 网络爬虫技术 智能分词技术 图像检测技术 智能识别技术 网站拨测技术 收集网站或域名 获取网站信息 判别不良信息 发现不良图片 发现不良内容 发现域名 发现黑白名单网站 智能木马检测技术 获取网站挂马信息 接上图 工信部公安部黑白名单收集系统 黑白名单制作系统 WEB应用安全和数据库安全的领航者! 杭州安恒信息技术有限公司 。
