web罕有开发安全培训.pptx

贵州移动 数据业务安全培训;目录;国际趋势：棱镜门后各国强化数据保护制度;国际趋势：数据保护出口行政审查制度 ;网络安全态势;网络安全态势;攻击者需要的技术水平逐渐降低，手段更加灵活，联合攻击急剧增多 攻击工具易于从网络下载 网络蠕虫具有隐蔽性，传染性，破坏性，自主攻击能力 新一代网络蠕虫和黑客攻击、计算机病毒之间的界限越来越模糊。;网络已经全面渗透到社会、经济、文化、政治、军事等各领域，已成为现代国家继陆、海、空、天外的“第五空间”和“第五行动疆域”，成为各国致力角逐的重点。 网络与信息安全影响越来越突出，地位越来越重要，成为国家安全的重要组成部分，成为事关国家政权巩固、经济发展和社会稳定的关键性、全局性战略问题。;信息通信行业变革创新，4G商用激发移动互联网新应用浪潮，物联网/云计算/大数据等新兴领域快速发展，下一代互联网2015年全面部署，三网融合全面推广， IPSec等安全加密技术普及应用 新技术新业务带来的网络信息安全问题日益突出，确保信息内容安全与数据安全、维护国家安全和社会稳定的压力和挑战与日俱增 ;大数据时代;据CNCERT的《2012年中国互联网网络安报告》显示，2012年发现涉及通信网络设备的通用软硬件漏洞数量为199个，较2011年下降2.0%，但不容忽视的是，涉及通信网络设备的通用软硬件高危漏洞为95个，较2011年大幅增长30.1%。;大数据带来的挑战 ;用户个人信息保护问题加剧 ;我国网络与信息安全顶层统筹全面加强 ;;当前，我国正值全面深化改革的特殊历史阶段，强化互联网依法管理与加大市场对外开放成为信息通信行业面临的新形势新要求 ;基础电信企业安全防护行业现状;做好安全工作需求日益迫切;目录;“电信网和互联网安全防护体系”系列标准;“电信网和互联网安全防护体系”系列标准;通信网络安全防护管理办法;电信管理机构应当对备案信息的真实性、完整性进行核查，发现备案信息不真实、不完整的，通知备案单位予以补正。;互联网信息服务管理办法（国务院令第292号）;从事经营性互联网信息服务，应当向省、自治区、直辖市电信管理机构或者国务院信息产业主管部???申请办理互联网信息服务增值电信业务经营许可证（以下简称经营许可证）。 省、自治区、直辖市电信管理机构或者国务院信息产业主管部门应当自收到申请之日起60日内审查完毕，作出批准或者不予批准的决定。予以批准的，颁发经营许可证；不予批准的，应当书面通知申请人并说明理由。 申请人取得经营许可证后，应当持经营许可证向企业登记机关办理登记手续。;互联网信息服务提供者不得制作、复制、发布、传播含有下列内容的信息： （一）反对宪法所确定的基本原则的； （二）危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的； （三）损害国家荣誉和利益的； （四）煽动民族仇恨、民族歧视，破坏民族团结的； （五）破坏国家宗教政策，宣扬邪教和封建迷信的； （六）散布谣言，扰乱社会秩序，破坏社会稳定的； （七）散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的； （八）侮辱或者诽谤他人，侵害他人合法权益的； （九）含有法律、行政法规禁止的其他内容的。;目录;;评估内容; 工作开展思路;评估操作八大步骤;步骤3——制定评估规范;步骤6——风险整改;;新技术新业务上线评估优势对比;目录;2013年 OWASP Top 10 十大漏洞;OWASP Top 10 ;OWASP Top 10 ;历史上第一个上央视的漏洞; 互联网上多数SSL加密都使用名为OpenSSL的开源软件包。由于OpenSSL的源代码中存在一个漏洞，可以让攻击者获得服务器上64K内存中的数据内容。这部分数据中，可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。; ?受影响服务： 443端口 465端口 993端口 995端口 1194端口 ......;淘宝;支付宝;12306铁道购票系统;163邮箱;网神VPN;中华电信hinet邮箱;BUDGET VM;利用SQL注入漏洞，入侵网上营业厅盗取充值卡密，成功充值。;利用SQL注入漏洞，入侵网上营业厅盗取充值卡密，成功充值。;通过注入语句，获取到了网站数据库名，并且可以通过修改注入语句获取到管理员的帐号密码和数据库中重要的信息。 ;SQL注入漏洞-3;通过注入工具直接获得了所有的数据库名。;Post注入;SQL注入漏洞-4;SQL注入漏洞-4;SQL注入漏洞-4;跨站脚本漏洞-1;在飞信客户端，测试存在XSS跨站漏洞。当用个人帐号A给公众帐号B发信息的时候插入恶意代码，受害者触发后，攻击者会得到自己想要得到的东西。;代码显示是这样的：;所以把测试代码替换成获取Cookie恶意代码的时候，受害人触发后，恶意代码就会把盗取的受害人cook