搜狐SDL流程和Web应用安全运营实践.pdfVIP

搜狐SDL流程与Web应用安全运营实践 董方@ SACC2011 SACC2011 About Me xuammumu@ /vindong Web安全爱好者，PHPer SACC2011 SACC2011 提纲 1 信息安全与web应用风险介绍 2 微软SDL流程介绍 3 搜狐SDL流程介绍 4 搜狐web应用安全运营体系 5 QA SACC2011 SACC2011 什么是信息安全 – 保护信息系统的硬件、软件及其系统中的数据受到保护，不受偶 然或者恶意侵犯而遭到破坏、更改、泄露，保证信息系统连续、 可靠、正常地运行。 保密性 confidentiality 完整性 可用性 信息安全 integrity availability SACC2011 SACC2011 安全风险分层 • SANS: “Top Cyber Security Risks - Vulnerability Exploitation Trends SACC2011 SACC2011 Web应用风险 • IBM：IBM X-Force 2009 Trend and Risk Report SACC2011 SACC2011 Web应用风险分类 • Web威胁分级标签图 SACC2011 SACC2011 Web应用风险分类 • OWASP TOP 10  A1: Injection  A2: Cross-Site Scripting (XSS)  A3: Broken Authentication and Session Management  A4: Insecure Direct Object References  A5: Cross-Site Request Forgery (CSRF)