中国IDC产业年度大典 纵观中国WEB安全5年发展历程及趋势与挑战 -下.ppt

中国IDC产业年度大典 纵观中国WEB安全5年发展历程及趋势与挑战 -下.ppt

  1. 1、本文档共16页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
中国IDC产业年度大典 纵观中国WEB安全5年发展历程及趋势与挑战 -下

纵观中国WEB安全5年发展历程及趋势与挑战 Frank.Fan (范渊) DBAPPSecurity Sec-Team OWASP 中国分会副会长 Founder and CTO of DBAPPSecurity (安恒信息) * Mass Injection Tool -- Config.ini [init] edkey=inurl:(.aspx? -(gov)) {自动产生} ranklimit=1000000 cipin=50 timeout=20 process=1 retry=3 thread=88 bufferlength=10 cpu=115 sellang=0 scanmode=0 chkbox1=1 chkbox2=0 chkbox3=1 chkbox4=0 chkbox5=1 chkbox6=0 chkbufferlength=1 chkranklimit=0 IgnoreUrl=163.com#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A#$D#$A IgnoreKey=Not Found#$D#$A盗链#$D#$A文件不存在#$D#$A 2009年度回顾 国庆60周年政府网站安全检查报告 2009年8月,杭州安恒信息的网站漏洞远程检测平台,被用于公安部十一局,对全国31个省、直辖市6000多个政府网站进行远程安全检测和抽检,发现存在安全漏洞网站个数达到2264个,占被检测网站总数的37.40%。 2009年度回顾 2009年度回顾 其中存在sql注入漏洞的网站1331个,占漏洞网站总数的58.79%;存在跨站脚本漏洞的网站1257个,占漏洞网站总数的55.52%; 存在表单绕过漏洞的网站55个,占漏洞网站总数的2.43%;存在其他漏洞的网站24个,占漏洞网站总数的1.06%;已被挂马的网站3个,占漏洞网站总数的0.20%。 2009年度回顾 2009年度回顾 由以上数据可以看出,目前政府网站所面临的安全威胁主要来自SQL注入、跨站脚本以及表单绕过漏洞。由以上漏洞将导致网页篡改、网页挂马甚至服务器沦陷危害内网安全等风险。 2010年度现状 框架安全 Struts2/XWork 2.2.0远程执行任意代码漏洞 Struts—在JSP Web应用开发中,广泛采用的开放源代码应用框架:有文献评价它是JSP Web应用框架的事实标准。 XWork是一个命令模式框架,用于支持Struts 2及其他应用。 XWork处理用户请求参数数据时存在漏洞,远程攻击者可以利用此漏洞在系统上执行任意命令。 2010年度现状 因为xwork的OGNL漏洞,经过utf-8转义的“#” 即“\u0023”会被XWork解析,并因此带来安全隐患。 攻击者可以根据需要构造任意语句并执行,比如 java.lang.Runtime.getRuntime().exit(1); java.lang.Runtime.getRuntime().exec(rm –rf /root)?? 等等。 由此带来的安全隐患是巨大的——凡采用Struts应用框架的系统,可利用该漏洞直接获取最高权限,任何安全防护形同虚设。 ? 2010年度现状 .NET Framework ASP.NET Padding Oracle攻击信息泄露漏洞? .NET Framework ASP.NET处理应用会话中的敏感数据的加密机制上存在弱点,采用ASP.NET框架开发的Web应用受此漏洞的影响,远程攻击者可以利用此漏洞解密或 篡改应用会话中包含的加密数据。对于Web应用会话中加密数据的获取和篡改导致的后果取决于具体ASP.NET应用的实现方式,如果在加密数据中设置了口 令等敏感信息则可能导致应用受到非授权的访问。对于使用了ASP.Net 3.5 SP1版本的应用,加密数据的破解则会导致攻击者可以读取ASP.NET应用中任意文件的内容。 2010年度现状 此漏洞基本涵盖所有.NET框架: Microsoft .NET Framework 4.0 Microsoft .NET Framework 3.5 SP1 Microsoft .NET Framework 3.5 Microsoft .NET Framework 2.0 SP2 Microsoft .NET Framework

文档评论(0)

dajuhyy + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档