web--应用安全解决方案.ppt

天存Web应用安全解决方案 Web攻击事件-篡改网页 Web攻击事件-篡改数据 Web攻击事件-跨站攻击 Web攻击事件-注入式攻击 最近…… 03-07年网站篡改情况 针对Web网站和应用的攻击 非法上传网页 非法篡改网页 非法篡改数据库 非法执行命令 跨站提交信息 网站资源盗链 窃取脚本源程序 窃取系统信息 窃取用户信息 绕过身份认证 拒绝服务攻击 …… Web应用结构 Web安全全貌 传统网络安全设备 防火墙 限制地址和端口访问 验证和加固网络协议 入侵检测 基于网络层的数据包检查 问题 Web端口谁来保护？ 应用数据谁来保护？ 如何保证公众浏览到的信息是原始的？ 风险和投资 常见Web攻击类型 产生的原因 操作系统系统 已公布超过1万多个系统漏洞 漏洞与补丁 漏洞从发现到被利用最短为0天（0day攻击） 官方补丁的平均发布时间为47天 应用系统漏洞 不同应用系统的不同的开发者 现有技术架构下，网站漏洞长期存在 如何防范 及时给操作系统、web服务软件打补丁 敦促每个开发者关注应用安全 使用黑客工具模拟攻击[黑盒测试] 复查所有应用系统代码[白盒测试] 更好的方法？ Web应用安全解决之道 天存Web应用安全解决策略 iGuard网页防篡改系统 杜绝被篡改的网页被公众浏览 杜绝被篡改的脚本被非法执行 杜绝对数据库内容的非法访问和篡改 iWall应用防火墙 对提交给Web服务