纵观中教材资料国web安全5年发展历程跟趋势跟挑战-安恒明鉴非法网.pptVIP

QQ: 595663478 Frank.Fan@dbappS BEA Confidential * * * * * * * * * 纵观中国WEB安全5年发展历程及趋势与挑战 Frank.Fan (范渊) DBAPPSecurity Sec-Team OWASP 中国分会副会长 Founder and CTO of DBAPPSecurity (安恒信息) Frank.Fan@DBAPPS 自我介绍 Frank CEO CTO 杭州安恒信息技术有限公司 毕业于美国加州大学计算机科学系 国际著名安全公司十多年的技术研发和项目管理 对应用安全、数据库安全和审计、compliance(如SOX, PCI, ISO17799/27001)有着非常资深经验 第一个登上黑帽子安全大会演讲的中国人 CISSP, CISA, GCIH, GCIA OWASP中国分会副会长 2008北京奥组委安全组成员 浙江省信息安全协会安全服务委员会主任 2009年度网络战专题最具影响力人物 目录 5年WEB应用安全的发展历程 未来发展趋势与挑战 QA 2006年回顾 与05年同期相比，06年网络攻击事件要高出一倍之多且web应用攻击上升 截止到2006年12月25日，据不完全统计，中国网络发生的网络攻击事件中，脚本入侵比例为53%，拒绝服务攻击比例为26%，漏洞利用比例为13%，暴力猜解比例为8%，社会工程学比例为5%，其他方法为1%。但与05年同期相比，2006年度网络攻击事件要高出一倍之多。 06年全年，据不完全统计，自2006年1月1日起，截止2006年12月25日，中国网站被篡改的数量达25820个。其中政府类网站有3661个；企业类网站为11828个（其中博客运营类被黑数量达到1683个）；教育\培训类被黑网站数量达到2216个，其中：中、职专及中小学网站占百分之73.5%（1628个），大学网站的二级网站占18.0%（398个），培训类机构127个，大学一级域名站点为63个。 2006回顾 自动化web弱点扫描工具 安恒安全专家团队在深入分析研究B/S架构应用系统中典型安全漏洞以及流行攻击技术基础上研制明鉴TMWEB应用弱点扫描器（简称：MatriXay ）于2006年8月在世界安全大会BlackHat和Def-Con上首次发布，开启了国内WEB应用弱点扫描器的先河。 而且该扫描器与同期国外同类产品的不同之处在于：不仅具有非凡的扫描功能，还提供了强大的渗透测试、网页木马检测功能。 2007年度回顾 电脑病毒/木马传播的WEB2.0化 Web2.0给网民带来全新的上网体验，web2.0的内容源不再由少数专业人士发布，任何人都可以成为内容源的发布者，这为那些别有用心的攻击者提供了更多的机会——各种恶意代码以热门事件为幌子被传输到网络上等待被下载。众多BLOG、论坛、社区、视频网站成为病毒泛滥和传播的温床。 Web2.0程序本身存在的威胁也是新的安全课题，安全厂商注意到myspace蠕虫和百度空间蠕虫是新蠕虫的代表。跨站点脚本攻击，变得越来越普及，因为黑客们已经发现了这类攻击的作用和好处。攻击者可以在用户毫不知情的情况下造成许多危害，其中包括强迫PC下载非法内容、侵入其他Web站点或发送电子邮件等。利用AJAX，在后台无声无息地传递数据，很难被发现，为AJAX蠕虫隐身传播带来了绝佳的便利！其中百度空间蠕虫源码已经公布。 2007年度回顾 入侵企业服务器 出售 收费传播流氓软件 获取金钱 拒绝服务攻击 发送垃圾邮件 盗取网上银行账户 组建僵尸网络 主动攻击勒索网站 受雇攻击收取佣金 批量入侵门户网站 盗取虚拟财产 窃取机密信息(图纸、财务报表等） 盗取个人信息 盗取证券交易账户 出售 洗钱 “工业化”入侵凸显地下黑客产业链 2008年度回顾 北京奥运会的胜利举办 2008北京奥运会，作为具有巨大影响力的全球性盛会之一，其安全防护工作贯穿盛会始终，更是奥运基础工作中的重中之重。而2008北京奥组委官方网站，在当今的互联网时代，其在会议前后发挥的作用是不言而喻的，一些国内外分裂势力、邪教分子、藏独分子、国外反华势力在奥运期间很有可能对网站发起攻击，实行破坏活动，借此引起全世界的注意，给各方面带来压力。 奥组委技术部门充分意识到网站信息安全形势的严峻，通过各种方式对网站安全问题做了很多的工作。安恒信息作为国内应用安全和数据库安全的领航者，凭借公司雄厚的技术实力和应用安全领域的丰富经验，成为奥运安全保障技术支持单位。 2008年度回顾 网路群注风暴 2008年5月，安恒安全研究服务团队在某网站应急响