乌云-乌云视角下的信息安全.pdf

乌云平台视角下的信息安全 wooyun 目录 •  关于我 •  当我们讨论信息安全时我们在想些什么 •  关于乌云漏洞报告平台 •  从乌云漏洞报告平台里看到的 •  Q/A 关于我 •  跨站师，web渗透师，业余渗透手 •  戴着镣铐跳舞的黑客实用主义者 •  百度安全架构师 •  80sec/wooyun创始人 当我们讨论信息安全时我们在想些 什么 场景一 •  甲方 –  不存在任何____安全问题，对于造谣抹黑的我 们将采取____处理 场景二 •  乙方 –  这个新兴的____安全问题很严重，已经导致 ____ 场景三 •  技术主管 –  我们已经买了___设备了，我们在安全上已经足 够投入了 场景四 •  安全工程师 –  我们已经按照某top10上的清单进行了排查，现 在只剩下边边角角的xss没有处理了 场景五 •  安全研究人员 –  我想我发现了___ 的一个严重漏洞，在_____条 件下能够导致很危险的后果 关于乌云 •  中立开放负责任的第三方漏洞报告平台 漏洞报告流程 •  从漏洞报告到厂商修复期间内内容保密 •  公开以确保用户能够了解到安全漏洞细节 •  让信息安全回归本质 信息安全本质 •  影响的数据 •  产生的危害 •  发生的概率 乌云安全威胁top1 •  引用不安全的第三方应用 案例1 乌云安全威胁top2 •  互联网泄密/撞库事件 乌云安全威胁top3 •  xss/csrf 盲打攻击手法的普及 乌云安全威胁top4 •  信息安全边界的缺失 案例 •  一次失败的漫游腾讯内部网络 乌云安全威胁top5 •  SQL注射漏洞 乌云安全威胁top6 •  错误的应用配置/默认配置 案例 •  Nginx •  Tomcat •  Jboss •  IIS •  …… 乌云安全威胁top7 •  不安全的账号/认证体系 –  缺乏认证 –  流程缺陷 乌云安全威胁top8 •  企业内部重要资料/文档外泄 解决 •  安全是个整体 –  业务 –  研发 –  运维 –  IT •  以数据为中心 –  降低数据敏感性 –  提高攻击的门槛 –  关注乌云