Web应用弱点扫描技术与产品介绍.pptVIP

 WEB应用安全和数据库安全的领航者！    Web应用弱点扫描(Webscan)技术与产品介绍 最佳WEB应用安全评估工具   在线代理提供部分资料  提纲 WEB面临主要安全威胁分析 十大常见的WEB应用攻击 近期安全事件回顾与分析 安恒明鉴WEB应用弱点扫描器概述 MatriXay5.0主要功能 MatriXay5.0产品特点 MatriXay5.0技术实现 安恒明鉴WEB应用弱点扫描器应用案例 本资料由-校园大学生创业网-提供 在线代理提供部分资料 WEB应用面临的主要安全威胁分析 WEB安全受到的挑战 美国最权威的RSA大会研究显示，Web应用安全已超过所有以前网络层安全（如：DDoS），逐渐成为最严重、最广泛、危害性最大的安全问题 WEB安全的挑战主要来自以下几个方面： XSS跨站攻击 SQL 注入 网络钓鱼 恶意代码 伪造ARP报文 RootKit隐身技术 …… 本资料由-校园大学生创业网-提供 在线代理提供部分资料 WEB应用面临的主要安全威胁分析 常见WEB应用攻击影响分析 网页木马：直接控制网站主机或者借此攻击访问者客户端 SQL注入漏洞：数据库信息窃取、篡改、删除 Cookie注入：数据库信息窃取、篡改、删除，控制服务器 跨站脚本漏洞：用户证书、网站信息、用户信息被盗 缓冲区溢出：攻陷和控制服务器 表单绕过漏洞：攻击者访问禁止访问的目录 文件上传漏洞：主页篡改、数据损坏和传播木马 文件包含：服务器信息窃取、攻陷和控制服务器 WEB应用面临的主要安全威胁分析 黑客攻击由网络层转向应用层 主要表现在两个层面：一是随着Web应用程序的增多，这些Web应用程序所带来的安全漏洞越来越多；二是随着互联网技术的发展，被用来进行攻击的黑客工具越来越多、黑客活动越来越猖獗，组织性和经济利益驱动非常明显。 然而与之形成鲜明对比的却是：现阶段的安全解决方案无一例外的把重点放在网络安全层面，致使面临应用层攻击（如：针对WEB应用的SQL注入攻击、跨站脚本攻击等）发生时，传统的网络防火墙、IDS/IPS等安全产品对网站攻击几乎不起作用，许多政府和企业门户网站成为黑客组织成批传播木马的最有效途径。 据统计75%的网络攻击和互联网安全侵害源于应用软件，网页上的漏洞的根源还是来自程序开发者对网页程序编制和检测。未经过安全训练的程序员缺乏相关的网页安全知识；应用部门缺乏良好的编程规范和代码检测机制等等。解决此类问题必须在WEB应用软件开发程序上整治，仅仅靠打补丁和安装防火墙是远远不够的。 WEB应用面临的主要安全威胁分析 面向应用层新型攻击特点分析 隐蔽性强：利用Web漏洞发起对WEB应用的攻击纷繁复杂，包括SQL注入，跨站脚本攻击等等，一个共同特点是隐蔽性强，不易发觉。 攻击时间短：可在短短几秒到几分钟内完成一次数据窃取、一次木马种植、完成对整个数据库或Web服务器的控制，以至于非常困难做出人为反应。 危害性大：目前几乎所有银行，证券，电信，移动，政府以及电子商务企业都提供在线交易，查询和交互服务。用户的机密信息包括账户，个人私密信息（如身份证），交易信息等等，都是通过Web存储于后台数据库中，这样，在线服务器一旦瘫痪，或虽在正常运行，但后台数据已被篡改或者窃取， 都将造成企业或个人巨大的损失。据权威部门统计，目前身份失窃（identity theft）已成为全球最严重的问题之一。 造成非常严重的有形和无形损失：目前，很多大型企业都是在国内外上市的企业， 一旦发生这类安全事件， 必将造成人心惶惶，名誉扫地，以致于造成经济和声誉上的巨大损失，即便不上市，其影响和损失也是不可估量的。 十大常见WEB应用攻击 SQL注入（SQL injection） 跨站脚本攻击 失效的认证和会话管理 不安全的直接对象引用 跨站伪造请求（CSRF） 安全配置错误 限制访问URL失效 尚未验证的重定向和转发 不安全的密码储存 传输层保护不足 近期安全事件回顾与分析 1、2008年9月，某大学生利用“灰鸽子”软件远程盗取网银用户的账号和密码，窃取资金48万余元 2、2008年12月，CCTV官方网站音乐频道被黑 3、2009年6月，“楼市走向”继续成为网络热议话题，知名地产网站相继被挂马 4、2009年7月，韩国总统府、国防部、外交通商部等政府部门和主要银行、媒体网站7日晚同时遭分布式拒绝服务（DDos）攻击，瘫痪时间长达4小时。 5、2009年8月 国内某政府网站被恐怖分子入侵 6、1月4日几名黑客入侵公安部物证鉴定中心的中英文网站，将原网站内容替换，并且不停修改页面内容，甚至留下网络联络号码和网名。随后，网站被迫关闭。直至第二天下午，网站才恢复正常，造成恶劣影响。 7、2010年1月，百度首页被黑 8、2010年3月，微软