|
2009中國計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)急年會于2009年10月21日至24日在湖南長沙召開,本屆年會主題是“網(wǎng)絡(luò)促進(jìn)發(fā)展 安全創(chuàng)造價(jià)值”�。23日進(jìn)入會議第二天��,在分會之“網(wǎng)絡(luò)安全新技術(shù)”會上�,網(wǎng)絡(luò)安全專家范淵發(fā)表了關(guān)于Web應(yīng)用與數(shù)據(jù)庫安全剖析的演講。 以下是網(wǎng)絡(luò)安全專家范淵發(fā)言實(shí)錄:
主持人賈焰:感謝楊哲先生�,下一位演講嘉賓是范淵先生,他演講的主題是Web應(yīng)用與數(shù)據(jù)庫安全剖析�。
范淵:謝謝主持人。各位網(wǎng)絡(luò)安全同仁下午好!
我是OWASP中國區(qū)的副會長�����,今天花一些時(shí)間講講Web實(shí)際處理案例和當(dāng)中的工作經(jīng)驗(yàn)交流��,算不上剖析���,如果大家關(guān)注這個(gè)領(lǐng)域的話����,應(yīng)該會有一定的實(shí)用價(jià)值,我參與了北京奧組委關(guān)于網(wǎng)站安全和數(shù)據(jù)庫安全的評估和加固��。
現(xiàn)在�����,通過網(wǎng)站安全進(jìn)行掛馬是黑客產(chǎn)業(yè)鏈最核心的一個(gè)主要部分�����,網(wǎng)站空間戰(zhàn)在美國02����、03年就被經(jīng)常提及,CYBERWAR去年已經(jīng)開始浮現(xiàn)水面�����,比較體系化了�����。
在國內(nèi),無論從政府�����、銀行����、教育還是運(yùn)營商,相信大家從媒體上可以獲知各式各樣的案例����。我在這里講一個(gè)案例,國慶60周年公安部進(jìn)行安全大檢查�,基本上50%的政府網(wǎng)站都存在嚴(yán)重安全漏洞���,從安全風(fēng)險(xiǎn)的比例來講占37.04%�����,也是非常嚴(yán)重的�。在某省全省商業(yè)銀行網(wǎng)站安全調(diào)研也是配合國慶60周年所做的檢測��,網(wǎng)銀也非常關(guān)注網(wǎng)絡(luò)安全漏洞��,但查出的漏洞比例還是比較高的。
運(yùn)營商也知道���,內(nèi)部黑手頻頻探囊安全網(wǎng)絡(luò)—�,“沒有密碼”的充值卡�,很多人在免費(fèi)打電話,其他的情況就不多說了�����。
去年的網(wǎng)絡(luò)群注是一種目前最流行的利用網(wǎng)站應(yīng)用程序漏洞進(jìn)行對數(shù)據(jù)庫以及服務(wù)器進(jìn)行攻擊的手段��,這種攻擊可能是竊取數(shù)據(jù)�,插入數(shù)據(jù),篡改數(shù)據(jù)�����,刪除數(shù)據(jù)或者執(zhí)行任意命令以致直接控制服務(wù)器�。它的原理是對后臺數(shù)據(jù)庫中所有的字符型字段全部插入某段腳本,這個(gè)腳本是帶有木馬執(zhí)行的腳本�����,在我們的檢測中,發(fā)現(xiàn)有一臺肉雞對這個(gè)網(wǎng)站進(jìn)行攻擊��,后來我們也攻入了那臺肉雞�����,發(fā)現(xiàn)這臺計(jì)算機(jī)工具也有很多的配置文件�,如利用google發(fā)現(xiàn)大批能夠進(jìn)入攻擊的目標(biāo)點(diǎn),然后把已經(jīng)編輯好的腳本注入進(jìn)去���。其實(shí)��,他們使用的工具并不復(fù)雜��,但前后兩次造成全球?qū)⒔f個(gè)網(wǎng)站受到侵襲���。
OWASP組織是一個(gè)國外開放社群、非營利性組織����,在全球有130多個(gè)分會�����,近萬名會員;主要目標(biāo)是研議協(xié)助解決Web應(yīng)用安全標(biāo)準(zhǔn)、工具與技術(shù)�����,致力于協(xié)助政府�����、企業(yè)了解并改善應(yīng)用安全��。OWASP國際影響力比較大��,美國聯(lián)邦貿(mào)易委員會(FTC)強(qiáng)烈建議所有企業(yè)需遵循OWASP所發(fā)布的十大Web弱點(diǎn)防護(hù)守則�。
目前OWASP有30多個(gè)進(jìn)行中的安全項(xiàng)目,主要包括OWASPTop10��、webgoat等�,OWASP中國分會致力于這些開源項(xiàng)目的引入以及研究,并通過各種渠道在國內(nèi)安全行業(yè)內(nèi)共享��。同時(shí)����,也歡迎更多的人參與以及加入OWASP中國分會,共同推動(dòng)國內(nèi)應(yīng)用安全領(lǐng)域方面的研究���。
OWASP最近正在做的事情是OWASP測試指南���,也花了很多的精力��,我����、OWASP的會長和一個(gè)八級英語翻譯致力于將測試指南完全消化����,并且爭取將測試指南盡快奉獻(xiàn)給大家,不涉及到任何的費(fèi)用�����。
OWASP測試指南目錄章節(jié):前沿���、信息收集�、配置管理測試��、認(rèn)證測試����、會話管理測試、授權(quán)測試����、數(shù)據(jù)驗(yàn)證測試、業(yè)務(wù)邏輯測試�����、拒絕服務(wù)測試�、網(wǎng)絡(luò)服務(wù)測試、AJAX測試����。還包含開發(fā)前、開發(fā)中����、運(yùn)行后的維護(hù)等,包含了很多的經(jīng)驗(yàn)在里面����,這兩天也和大家在交流,OWASP一方面比較新�����,但另一方面確實(shí)會涉及到白服和黑服的防護(hù),以及事后的應(yīng)急處理���,我認(rèn)為是不可或缺的�,測試內(nèi)容比較多�����,章節(jié)也比較多��,花了很多的精力����。
去年是OWASP在臺灣舉行亞洲峰會,規(guī)模也很大�����,OWASP組織得好的話���,完全可以組織不同的分會場�,進(jìn)行細(xì)致地交流����。計(jì)劃在2010年4-5月份會舉行OWASP亞洲峰會�����,到時(shí)也會邀請國外國內(nèi)的專家到一起交流,分別在臺灣��、北京舉行�。
Web攻擊悄然無聲,傳統(tǒng)的防火墻�、防病毒幾乎沒有觸及,對于防火墻來說必須打開STTP80和STTPS��,在這個(gè)范圍內(nèi)發(fā)起的所有攻擊都會變得比較容易���。
如果有需要服務(wù)器的租用與托管的敬請聯(lián)系QQ:1501281758(億恩星辰) 聯(lián)系電話:0371—63322220
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊頂級提供商����!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
