6.2.1 Web 应用安全 加固和防篡改-主讲教师陈雪松-1765263495145.pptxVIP

6.2.1Web应用安全（加固和防篡改）主讲教师：陈雪松

目录1Web应用加固2网页防篡改

1Web应用加固云服务推动了网络的Web化趋势。与传统的操作系统、数据库、C/S系统的安全漏洞相对，多客户、虚拟化、动态、业务逻辑服务复杂、用户参与等，这些Web2.0和云服务的特点，对网络安全来说意味着巨大的挑战，甚至面临灾难性威胁。在云计算中，对于应用安全，尤其需要注意的是Web应用安全。

1Web应用加固Web系统漏洞层出不穷的原因：一是Web应用漏洞，即Web应用层的各项漏洞，包括Web应用主流的安全漏洞、网页挂马、恶意代码利用的漏洞等；二是Web代码漏洞，即Web应用系统在开发阶段遗留下来的代码漏洞，包括SQL注入漏洞、跨站脚本漏洞、CGI漏洞和无效链接等。0102

1Web应用加固监所云平台SaaS应用在开发之初，应充分考虑到安全性，制定并遵循适合SaaS模式的SDL（安全开发生命周期）规范和流程，从整个生命周期上去考虑应用安全。

1Web应用加固Web应用系统的防护：导致系统可用性问题的其他类型黑客攻击等DDoS攻击应对网页篡改

1Web应用加固漏洞管理Web应用配置加固身份认证访问控制Web应用防护抗攻击系统监所云计算网数据中心采用的技术防护措施

2网页防篡改监所政务公开云平台对公众提供的服务网站因需要被公众访问而暴露于因特网上，因此容易成为黑客的攻击目标。虽然目前已有防火墙、入侵防御等安全防范手段，但现代操作系统的复杂性和多样性导致系统漏洞层出不穷、防不胜防，黑客入侵和篡改页面的事件时有发生。

2网页防篡改网页防篡改通过Web服务器核心内嵌技术，使用密码技术，为每个需保护的对象（静态网页、执行脚本、二进制文件）计算出具有唯一性的数字水印。

2网页防篡改公众每次访问网页时，都将网页内容与数字水印进行对比计算，一旦发现网页被非法修改，则立即进行自动恢复，从而彻底地保证了非法网页内容不被公众浏览。辅助使用了增强型事件触发式技术，从而能够在部分操作系统上防止常规的篡改行为。网页防篡改运行逻辑

2网页防篡改网页防篡改系统的优势：综合考虑了广泛使用的IIS/Apache服务器对于Web攻击的特殊防护需求，基于最为稳定和高效的IIS/Apache模块技术构建，稳定性好、效率高、透明化，与IIS/Apache内核完美集成。

2网页防篡改跨站攻击对系统文件的访问构造危险的Cookie对危险文件路径的访问溢出代码攻击对危险文件类型的访问SQL注入攻击特殊的URL攻击网页防篡改系统能对以下风险进行不问断的有效的检测、阻止与保护，并根据自动化攻击工具和手工攻击方式灵活调整安全保护策略。

谢谢大家！主讲教师：陈雪松