PDF《数字校园门户网站》

14 1 -

15 通元软件 Desktop Firewall IDS/IPS Web Applications 手工修复和代码检查? SQL Injection Cross Site Scripting Pattern- based Attack Web Server Known Vulnerabilities Parameter Tampering Cookie Poisoning Port Scanning DoS Anti- spoofing 最弱层:Web应用层

1 -

16 通元软件 Web安全的误解 ? Web 网站使用了防火墙,所以很安全 C 无论是应用级还是端口级的防火墙针对的都是网络层面的攻击,通过设置 可访问的端口或者应用,把恶意访问排除在外,然而如何鉴别善意访问和 恶意访问是一个问题.访问一旦被允许,后续的安全问题就不是防火墙能 应对了. ? Web 网站使用了 IDS/IPS,所以很安全 C 通过模式识别对网络层面的攻击做出防护措施.然而类似于防火墙,通过 利用程序漏洞,通过正常连接进行攻击的访问无法被识别和处理. ? Web 网站使用了 SSL 加密,所以很安全 C SSL 对网站发送和接收的信息都进行加密处理,然而 SSL 无法保障存储在 网站里的信息的安全和网站访问者的隐私信息.采用

64 位甚至

128 位SSL 加密的网站被黑客攻陷的例子举不胜举. ? 漏洞扫描工具没发现任何问题,所以很安全 C 当前漏洞扫描工具已经被广泛使用去查找一些明显的网络安全漏洞.同理 ,扫描工具无法对网站应用程序进行检测,无法查找应用本身的漏洞. ? 我们每季度都会聘用安全人员进行审计,所以很安全 C 人为的检测考察不仅仅效率低,不可控因素也较多,同时对于代码变更频 繁的今天,安全人员也无法满足全面的安全需求

1 -

17 通元软件 十大Web应用安全隐患

1 -

18 通元软件 十大攻击手段

1 -

19 通元软件 跨站点脚本攻击-示例

1 -

20 通元软件 组织的挑战 Network Server Web Applications % of 攻击 % of 花费 75% 10% 25% 90% 安全 花费 ?缓冲区溢出 ?Cookie 毒药 ?隐藏域 ?跨网站脚本攻击 ?篡改参数 ?暴力浏览 ?SQL 注入 ?等等… 信息安全攻击都来自web应用的层次上 75% 75% Web应用是脆弱的 2/3 2/3 Sources: Gartner, IDC, Watchfire

1 -

21 通元软件 根源分析 ? IT安全通常关注仅网络和服务器 C Firewalls and IPS不能阻止应用层攻击 C 80, 8080,443端口开放 C 网络扫描器不能完全发现应用漏洞 ? Nessus, ISS, Qualys, Nmap, etc. ? IT安全专家通常源于 network /infrastructure方面, 对web软件开放经验较少 ? 开发人员缺乏安全培训和要求 C 64%的开发人员不具备编写安全代码的能力(来自Microsoft Developer Research) C 开发人员不关心安全 ? 缺乏明确的安全策略、流程以及工具

1 -

22 通元软件 IBM收购业界第一的WatchFire AppScan ? WEB应用安全性解决方案 C WatchFire是业界最准确的WEB应用安全软件的领导者,是唯一能够提供端 到端解决方案的公司 C 在应用安全脆弱性评估软件市场排名第一,占有约31.8%的市场份额(由IDC和Gartner提供) C 成立于1996年C收购后,IBM迅速推出多个新版本

1 -

23 通元软件 使用AppScan解决WEB应用安全隐患 ? AppScan是什么? C 是一个Web应用安全扫描工具 ? 为什么需要它? C 大大简化Web应用安全问题的发现和修复 ? AppScan能为您做什么? C 扫描Web应用、找出安全隐患、给出修复意见报告 ? 哪些角色需要使用它? C 安全审计人员 C QA工程师 C 测试人员 C 开发人员

23 1 -

24 通元软件 WatchFire和业界标准 ? 两个知名的Web应用安全组织 C WASC(Web Application Security Consortium ) (www.webappsec.org) C OWASP(Open Web Application Security Project) ( www.owasp.org ) ? WatchFire是该组织成员 ? AppScan是依据上述业界标准进行测试的 ? AppScan的修复报告可以遵循多种标准模板