Web安全今天和明天.pdfVIP

OWASP AppSec The OWASP Foundation WashingtonWashington DCDC http://wwworg WebWeb安全的今天和明天安全的今天和明天 杭州安恒信息技术有限公司 Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. FrankFrank   CEOCEOCTO  CTO 杭州安恒信息技术杭州安恒信息技术有限公司有限公司 –毕业于美国加州大学计算机科学系 –国际著名安全公司十多年的技术研发和项目管理 –对应用安全、数据库安全和审计、compliance(如SOX,PCI, ISO17799/27001)有着非常资深经验 – 第一个登上黑帽子安全大会演讲的中国人 –CISSP,CISA,GCIH,GCIA – OWASP中国分会副会长 –2008北京奥组委安全组成员 – 浙江省信息安全协会安全服务委员会主任 –2009年度网络战专题最具影响力人物 目目录录 目目录录 11 WEB应用安全现状概述 22 WEB应用安全的一些研究 33 云计算与云安全 44 WEB应用安全未来发展趋势与挑战 3 应用范围应用范围 应用范围应用范围 任何基于B（browser）/S架构的信息系统 应用网站、邮件系统、企业办公系统 一一般架构般架构 般架构般架构 浏览器浏览器 应用程序 数据库 服务器软件服务器软件 应用特点应用特点 应用特点应用特点 广泛性广泛性 ：：应用广泛应用广泛，覆盖各行各业覆盖各行各业 重要性：内部信息，组织宣传门户 脆弱性：直接面对用户，以应用系统为跳板，入侵内部网络 WEBWEB应用所面临的风险总览应用所面临的风险总览 WEBWEB应用所面临的风险总览应用所面临的风险总览 系统层面系统层面 –如低版本的如低版本的IIS,IIS, Apache,Apache, 缺乏补丁的缺乏补丁的 Windows. 应用层面应用层面 SQL 注入 跨站脚本(钓鱼攻击) 表单漏洞 上传漏洞 网页木马网页木马 ((恶意代码恶意代码)) …… 网络层面 - ARP欺骗攻击 网络安全现状触目惊心网络安全现状触目惊心 网络安全现状触目惊心网络安全现状触目惊心 2010年上半年网络安全报告 网络安全威网络安全威胁已从传统的已从传统的