WEB安全防护.pptVIP

* 百度空间蠕虫，校内网蠕虫。 * * * * * * * * * * * * * DDoS攻击新技术——反弹技术反弹技术就是利用反弹服务器实现攻击的技术.所谓反弹服务器(Reflector)是指当收到一个请求数据报后就会产生一个回应数据报的主机.例如,所有的Web服务器,DNS服务器和路由服务器都是反弹服务器.攻击者可以利用这些回应的数据报对目标机器发动DDoS攻击.反弹技术原理反弹服务器攻击过程和传统的DDoS攻击过程相似,如前面所述的4个步骤中,只是第4步改为:攻击者锁定大量的可以作为反弹服务器的服务器群,攻击命令发出后,代理守护进程向已锁定的反弹服务器群发送大量的欺骗请求数据包,其原地址为受害服务器或目标服务器. 反弹技术实现DDoS攻击与传统DDoS攻击的区别:1.反弹技术实现DDoS攻击比传统DDoS攻击更加难以抵御.实际上它的攻击网络结构和传统的相比多了第四层——被锁定的反弹服务器层.反弹服务器的数量可以远比驻有守护进程的代理服务器多,故反弹技术可以使攻击时的洪水流量变弱,最终才在目标机汇合为大量的洪水,其攻击规模也比传统DDoS攻击大得多.2.目标机更难追查到攻击来源.目标机接收到的攻击数据报的源IP是真实的,反弹服务器追查到的数据报源IP是假的.又由于反弹服务器上收发数据报的流量较小(远小于代理服务器发送的数量),所以,服务器根据网络流量来自动检测是否为DDoS攻击源的这种机制将不起作用. * 开放来源信息 （open source information）　　在一些情况下，公司会在不知不觉中泄露了大量信息。公司认为是一般公开的以及能争取客户的信息，都能为攻击者利用。这种信息一般被称为开放来源信息。　开放的来源是关于公司或者它的合作伙伴的一般、公开的信息，任何人能够得到。这意味着存取或者分析这种信息比较容易，并且没有犯罪的因素，是很合法的。这里列出几种获取信息的例子： 公司新闻信息：如某公司为展示其技术的先进性和能为客户提供最好的监控能力、容错能力、服务速度，往往会不经意间泄露了系统的操作平台、交换机型号、及基本的线路连接。 公司员工信息：大多数公司网站上附有姓名地址簿，在上面不仅能发现CEO和财务总监，也可能知道公司的VP和主管是谁。 新闻组：现在越来越多的技术人员使用新闻组、论坛来帮助解决公司的问题，攻击者看这些要求并把他们与电子信箱中的公司名匹配，这样就能提供一些有用的信息。使攻击者知道公司有什么设备，也帮助他们揣测出技术支持人员的水平 * * * * * Jdbc提供两个方法来执行sql语句：Statement和这个prepareStatement，两者的区别在于：? 我们每一个sql语句发送到数据库处理的时候，数据库先进行解析（硬解析）。这个解析是需要消耗cpu时间的。然后把解析的结果保存在数据库的内存中（并 且经过hash算法），以后如果有一样的sql语句，数据库马上就可以找到该语句，根本不需要硬解析过程，而是进行软解析，只是替换？为一些值， * 获取当前用户cookie的，结合上面介绍的cookie欺骗攻击，可以盗取用户权限。 * * * 当我们输入inurl:“ViewerFrame?Mode=” 后 …… 信息泄露-来自搜索引擎 如何有效对WEB防护 Web业务类型防护 政务公开 网上办事 政民互动 业务类型 网页篡改 敏感信息泄密 业务中断 威胁类型 非法入侵 代码加固 网页防篡改 WAF 身份鉴别 访问控制 防护类型 Web安全视图 Internet Web Server Application Server Databases Backend Server/System Port Scanning DoS Anti-spoofing Web Server know vulner- abilities Pattern- Based Attacks SQL Injection Cross Site Scripting Parameter Tampering Cookie Poisoning Firewall 网络端口访问控制 UDP/TCP状态感知 1 IDS/IPS 基于规则的异常检测 入侵防护 已知漏洞管理 2 Web Application Firewall HTTP/S应用保护 会话管理（Cookie安全） 内容控制 数据泄露管理 3 从运维管理者而言 　检测与发现----事前预警 防护与阻击----事中防护 　安全监控与安全恢复----事后恢复、监控 典型安全产品 保障方向 产品名称 检测 WEB扫描器 Web安全审计系统（WAS） 防护 WEB应用防火墙（WAF） 网页防篡改 安全监控与恢复 WEB应用防护系统（HWAF） Web安全