日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
范淵:Web應(yīng)用與數(shù)據(jù)庫安全剖析

2009中國計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)急年會(huì)于2009年10月21日至24日在湖南長沙召開,本屆年會(huì)主題是“網(wǎng)絡(luò)促進(jìn)發(fā)展 安全創(chuàng)造價(jià)值”。23日進(jìn)入會(huì)議第二天,在分會(huì)之“網(wǎng)絡(luò)安全新技術(shù)”會(huì)上,網(wǎng)絡(luò)安全專家范淵發(fā)表了關(guān)于Web應(yīng)用與數(shù)據(jù)庫安全剖析的演講。 以下是網(wǎng)絡(luò)安全專家范淵發(fā)言實(shí)錄:

主持人賈焰:感謝楊哲先生,下一位演講嘉賓是范淵先生,他演講的主題是Web應(yīng)用與數(shù)據(jù)庫安全剖析。
 
范淵:謝謝主持人。各位網(wǎng)絡(luò)安全同仁下午好!

我是OWASP中國區(qū)的副會(huì)長,今天花一些時(shí)間講講Web實(shí)際處理案例和當(dāng)中的工作經(jīng)驗(yàn)交流,算不上剖析,如果大家關(guān)注這個(gè)領(lǐng)域的話,應(yīng)該會(huì)有一定的實(shí)用價(jià)值,我參與了北京奧組委關(guān)于網(wǎng)站安全和數(shù)據(jù)庫安全的評(píng)估和加固。

現(xiàn)在,通過網(wǎng)站安全進(jìn)行掛馬是黑客產(chǎn)業(yè)鏈最核心的一個(gè)主要部分,網(wǎng)站空間戰(zhàn)在美國02、03年就被經(jīng)常提及,CYBERWAR去年已經(jīng)開始浮現(xiàn)水面,比較體系化了。

在國內(nèi),無論從政府、銀行、教育還是運(yùn)營商,相信大家從媒體上可以獲知各式各樣的案例。我在這里講一個(gè)案例,國慶60周年公安部進(jìn)行安全大檢查,基本上50%的政府網(wǎng)站都存在嚴(yán)重安全漏洞,從安全風(fēng)險(xiǎn)的比例來講占37.04%,也是非常嚴(yán)重的。在某省全省商業(yè)銀行網(wǎng)站安全調(diào)研也是配合國慶60周年所做的檢測,網(wǎng)銀也非常關(guān)注網(wǎng)絡(luò)安全漏洞,但查出的漏洞比例還是比較高的。

運(yùn)營商也知道,內(nèi)部黑手頻頻探囊安全網(wǎng)絡(luò)—,“沒有密碼”的充值卡,很多人在免費(fèi)打電話,其他的情況就不多說了。

去年的網(wǎng)絡(luò)群注是一種目前最流行的利用網(wǎng)站應(yīng)用程序漏洞進(jìn)行對(duì)數(shù)據(jù)庫以及服務(wù)器進(jìn)行攻擊的手段,這種攻擊可能是竊取數(shù)據(jù),插入數(shù)據(jù),篡改數(shù)據(jù),刪除數(shù)據(jù)或者執(zhí)行任意命令以致直接控制服務(wù)器。它的原理是對(duì)后臺(tái)數(shù)據(jù)庫中所有的字符型字段全部插入某段腳本,這個(gè)腳本是帶有木馬執(zhí)行的腳本,在我們的檢測中,發(fā)現(xiàn)有一臺(tái)肉雞對(duì)這個(gè)網(wǎng)站進(jìn)行攻擊,后來我們也攻入了那臺(tái)肉雞,發(fā)現(xiàn)這臺(tái)計(jì)算機(jī)工具也有很多的配置文件,如利用google發(fā)現(xiàn)大批能夠進(jìn)入攻擊的目標(biāo)點(diǎn),然后把已經(jīng)編輯好的腳本注入進(jìn)去。其實(shí),他們使用的工具并不復(fù)雜,但前后兩次造成全球?qū)⒔f個(gè)網(wǎng)站受到侵襲。

OWASP組織是一個(gè)國外開放社群、非營利性組織,在全球有130多個(gè)分會(huì),近萬名會(huì)員;主要目標(biāo)是研議協(xié)助解決Web應(yīng)用安全標(biāo)準(zhǔn)、工具與技術(shù),致力于協(xié)助政府、企業(yè)了解并改善應(yīng)用安全。OWASP國際影響力比較大,美國聯(lián)邦貿(mào)易委員會(huì)(FTC)強(qiáng)烈建議所有企業(yè)需遵循OWASP所發(fā)布的十大Web弱點(diǎn)防護(hù)守則。

目前OWASP有30多個(gè)進(jìn)行中的安全項(xiàng)目,主要包括OWASPTop10、webgoat等,OWASP中國分會(huì)致力于這些開源項(xiàng)目的引入以及研究,并通過各種渠道在國內(nèi)安全行業(yè)內(nèi)共享。同時(shí),也歡迎更多的人參與以及加入OWASP中國分會(huì),共同推動(dòng)國內(nèi)應(yīng)用安全領(lǐng)域方面的研究。

OWASP最近正在做的事情是OWASP測試指南,也花了很多的精力,我、OWASP的會(huì)長和一個(gè)八級(jí)英語翻譯致力于將測試指南完全消化,并且爭取將測試指南盡快奉獻(xiàn)給大家,不涉及到任何的費(fèi)用。

OWASP測試指南目錄章節(jié):前沿、信息收集、配置管理測試、認(rèn)證測試、會(huì)話管理測試、授權(quán)測試、數(shù)據(jù)驗(yàn)證測試、業(yè)務(wù)邏輯測試、拒絕服務(wù)測試、網(wǎng)絡(luò)服務(wù)測試、AJAX測試。還包含開發(fā)前、開發(fā)中、運(yùn)行后的維護(hù)等,包含了很多的經(jīng)驗(yàn)在里面,這兩天也和大家在交流,OWASP一方面比較新,但另一方面確實(shí)會(huì)涉及到白服和黑服的防護(hù),以及事后的應(yīng)急處理,我認(rèn)為是不可或缺的,測試內(nèi)容比較多,章節(jié)也比較多,花了很多的精力。

去年是OWASP在臺(tái)灣舉行亞洲峰會(huì),規(guī)模也很大,OWASP組織得好的話,完全可以組織不同的分會(huì)場,進(jìn)行細(xì)致地交流。計(jì)劃在2010年4-5月份會(huì)舉行OWASP亞洲峰會(huì),到時(shí)也會(huì)邀請(qǐng)國外國內(nèi)的專家到一起交流,分別在臺(tái)灣、北京舉行。

Web攻擊悄然無聲,傳統(tǒng)的防火墻、防病毒幾乎沒有觸及,對(duì)于防火墻來說必須打開STTP80和STTPS,在這個(gè)范圍內(nèi)發(fā)起的所有攻擊都會(huì)變得比較容易。

#p#

Web應(yīng)用系統(tǒng)所面臨的風(fēng)險(xiǎn)有系統(tǒng)層面的、應(yīng)用層面的、網(wǎng)絡(luò)層面的、業(yè)務(wù)層面的,如低版本的IIS、缺乏不定的windows,SQL注入、網(wǎng)頁木馬、惡意代碼、跨站腳本、表單漏洞、上傳漏洞、ARP欺騙攻擊等等。

(演示)SQL注入攻擊過程演示。對(duì)參數(shù)進(jìn)行變形,達(dá)到攻擊目標(biāo)后臺(tái)的目的。它也很多的類型,但基本原理沒有大的變化,表現(xiàn)形式和變形可能會(huì)有很多,不同的數(shù)據(jù)庫被它利用的類型也會(huì)不一樣。

CSRF測試最近受到關(guān)注,簡單來說是間接利用Web應(yīng)用程序的驗(yàn)證漏洞,使得被攻擊者無意識(shí)地實(shí)施跨站攻擊。比如某個(gè)網(wǎng)站已經(jīng)被黑客所控制,一旦我被攻擊之后,它有可能讓我的機(jī)器再發(fā)起一次網(wǎng)銀轉(zhuǎn)帳,但我自己并不知道這個(gè)行為。這個(gè)時(shí)候,大家會(huì)發(fā)現(xiàn)做完網(wǎng)銀轉(zhuǎn)帳之后,可能會(huì)再彈出一個(gè)支付的口令,需要你人為再操作一次,其實(shí)這就是便于大家識(shí)別的一個(gè)簡單方法之一。

數(shù)據(jù)庫是企業(yè)信息系統(tǒng)的核心,剛才講了這么多的Web應(yīng)用,它們其實(shí)是不能分割的。很多關(guān)鍵數(shù)據(jù)在各個(gè)部門構(gòu)成了三層、四層,受攻擊的對(duì)象其實(shí)是數(shù)據(jù)庫,受攻擊之后反映在Web應(yīng)用層面,我認(rèn)為不應(yīng)該把兩者完全分開。當(dāng)然,Web應(yīng)用很大一部分時(shí)間是在內(nèi)網(wǎng)進(jìn)行,數(shù)據(jù)庫和內(nèi)控也就相關(guān)了,不知道大家關(guān)不關(guān)注等級(jí)保護(hù),它其實(shí)會(huì)把應(yīng)用安全和數(shù)據(jù)庫分為幾個(gè)章節(jié),更多的是涉及你在有權(quán)限的情況下,是否濫用了你的權(quán)限,它和相關(guān)的內(nèi)用和審計(jì)有關(guān)。

對(duì)于內(nèi)部用戶會(huì)造成合法權(quán)限濫用、權(quán)限盜用、越權(quán)濫用、權(quán)限分配不當(dāng)?shù)惹闆r;對(duì)于數(shù)據(jù)庫軟件會(huì)出現(xiàn)平臺(tái)漏洞,通訊協(xié)議漏洞,弱鑒權(quán)機(jī)制,日志缺失不完整的后果;對(duì)于應(yīng)用程序也會(huì)產(chǎn)生漏洞。

應(yīng)用系統(tǒng)安全常見的誤區(qū):使用防火墻和入侵檢測設(shè)備,網(wǎng)站安全了;安裝了最新系統(tǒng)和數(shù)據(jù)庫補(bǔ)丁,網(wǎng)站和數(shù)據(jù)庫可以不被攻擊;使防篡改軟件,網(wǎng)站一定安全;數(shù)據(jù)庫位于內(nèi)網(wǎng),一定不被攻擊;安裝了防病毒軟件,網(wǎng)站就不被掛馬;網(wǎng)站被掛馬了,請(qǐng)馬上幫我清掉我就萬事大吉了。更換新應(yīng)用系統(tǒng)也有誤區(qū),如新應(yīng)用系統(tǒng)未必更安全;確保新應(yīng)用系統(tǒng)的安全性還是應(yīng)該從頭做起。那么,代碼層防護(hù),應(yīng)用層防護(hù),實(shí)時(shí)防護(hù)和事后防護(hù)還是相當(dāng)?shù)刂匾?/p>

【編輯推薦】

  1. 簡單三步幫助企業(yè)解決Web業(yè)務(wù)安全防護(hù)問題
  2. 惡意軟件猖獗 Web開發(fā)者難辭其咎
  3. 企業(yè)級(jí)Web安全滲透測試之SSL篇

網(wǎng)頁標(biāo)題:范淵:Web應(yīng)用與數(shù)據(jù)庫安全剖析
URL鏈接:http://m.5511xx.com/article/cdidepi.html