自我介绍演示课件.pptVIP

基于上述思路，如何付诸实践？ 付诸实践 付诸实践——开发环节 付诸实践——测试环节 例行安全扫描 流量/日志挖掘 付诸实践——自行发现 全流量URL库 扫描工具/平台 运维平台 日志挖掘 付诸实践——主动获取 Wooyun 安全响应中心 重要系统免受其他系统影响：统一登录分散认证 重要系统自身免受XSS影响：CSP响应头设置 付诸实践——保护重要系统 unsafe. passport. BDUSS 容易被盗 Passport . unsafe important othera otherb 保护认证会话：会话HttpOnly化 付诸实践——保护认证会话 我们近年得到的一些经验总结 经验总结 经验总结——选准对象，把握推动顺序 HttpOnly CSP 统一登录分散认证 模板安全 完美方案？ 好好的 数量多，占比大，仅以百度举例，Wooyun上报告的漏洞，XSS漏洞约占50% 还有许多更新型的攻击手法 产品线众多 安全人员少 研发安全意识不高 已嵌入百度前端研发流程 预计今年完成强制落实。 另外，我们当前也在开发基于扫描平台的浏览器扫描插件 除此之外，全流量还有很多作用 另外，目前也在挖掘日志 申请经费，收购漏洞 具体方案细节，将在经验总结里介绍 数据证明，不是证明HttpOnly有效，而是证明对产品无影响 PC端上线HttpOnly 内部重要系统设置CSP 外部重要系统统一登录分散认证方案 模板安全转义或检查 与业务部门给出完美解决方案 如果时间足够，这里可以演示 已介入公司产品模板上线流程 互联网公司通用XSS解决方案探讨 d4rkwind@百度 自我介绍 暗夜潜风/d4rkwind 百度 高级安全工程师 mere# 提纲 问题现状 解决思路 付诸实践 经验总结 我们遇到什么样的问题现状？ 问题现状 问题现状——数量足够多 问题现状——“新型”攻击手法普及 移动/云 前项收费 …… 问题现状——战略必须拥有安全保障 解决当前问题，我们的思路是什么？ 解决思路 解决思路 好好的 数量多，占比大，仅以百度举例，Wooyun上报告的漏洞，XSS漏洞约占50% 还有许多更新型的攻击手法 产品线众多 安全人员少 研发安全意识不高 已嵌入百度前端研发流程 预计今年完成强制落实。 另外，我们当前也在开发基于扫描平台的浏览器扫描插件 除此之外，全流量还有很多作用 另外，目前也在挖掘日志 申请经费，收购漏洞 具体方案细节，将在经验总结里介绍 数据证明，不是证明HttpOnly有效，而是证明对产品无影响 PC端上线HttpOnly 内部重要系统设置CSP 外部重要系统统一登录分散认证方案 模板安全转义或检查 与业务部门给出完美解决方案 如果时间足够，这里可以演示 已介入公司产品模板上线流程