Web应用安全发展的挑战和趋势.pdfVIP

Web应用安全发展的挑战和趋势 Safe3 大纲 • Web应用安全挑战 • Web应用安全趋势 •• WebWeb应用安全云防护应用安全云防护 背景 • 常见网站安全问题 – 使用开源的web应用(Discuz、phpmyadmin) – 网站开发人员安全意识薄弱网站开发人员安全意识薄弱 – Web server本身漏洞 – 网站管理人员缺乏安全意识网站管理人员缺乏安全意识((弱口令等弱口令等)) – 网站安全环境差(旁站入侵、嗅探等) – Web框架漏洞(Struct2) – 网站、站、DNS拒绝服务攻击服务攻击 案例1 • Struts2远程命令执行漏洞 /cgi-bin/cvename.cgi?name=CVE-2012-0394 众多政府jsp 网站存在该漏洞 图：工业和信息化部信息中心分站图：工业和信息化部信息中心分站 案例2 • 时尚巴黎女装网遭遇上亿次DDOS攻击 总结 • 新的时代web应用安全面临着新的挑战， 这其中包括这其中包括: 1. 如何拦截web 2.0 jjs worm 攻击 2. 如何拦截未知web框架漏洞 33. 如何抵御如何抵御httphttp floodflood攻击攻击 4. 如何抵御DNS ddos攻击 5. 如何拦截如何拦截webshell上传以上传以及webshell行为行为 大纲 • Web应用安全挑战 • Web应用安全趋势 •• WebWeb应用安全云防护应用安全云防护 当前WAF产品分类 • 网络层过滤型（Barracuda 、Imperva 等） • 内嵌型（ModSecurity 等） •• 云防护型（网站卫士云防护型（网站卫士、CloudflareCloudflare ）） • 代码防御型（phpids、dotnetids等） 当前WAF优缺点对比 • 网络层过滤型 性能高能高、受限于网络络区域域、抗抗DDOS能力高能力高 • 内嵌内嵌型 性能中、需要本机安装、抗DDOS能力中 •• 云防护型云防护型 性能极高、不限网络区域、抗DDOS能力极高 • 代码防御型代码防御型 性能低、需要插入代码、抗DDOS能力差 WAF发展趋势 • 新兴网站云防护 国外Cloudflare(市值10亿美元，每月35亿PV ，服务12% 的网络用户的网络用户)) 国内国内360网站卫士网站卫士，普遍采用云防护模式普遍采用云防护模式，部署灵活使用部署灵活使用 简单 大纲 • Web应用安全挑战 • Web应用安全趋势 •• WebWeb应用安全云防护应用安全云防护 网站云防护 • 网站云防护优点 1. 利用