返回
Radware 网站安全解决方案

Radware 网站安全解决方案

ID:21245318

大小:15.52 MB

页数:86页

时间:2018-10-20

Radware 网站安全解决方案_第1页
Radware 网站安全解决方案_第2页
Radware 网站安全解决方案_第3页
Radware 网站安全解决方案_第4页
Radware 网站安全解决方案_第5页
资源描述:

《Radware 网站安全解决方案》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、AppWall产品介绍©2009Radware,Inc.Allrightsreserved.Radware陈玉奇Page1Web应用安全的挑战2政府3企业4防不胜防5面子与里子——预言成真6问题根源全开放的系统,面对全球的目光开发中对安全的忽视,开发人员缺乏安全意识复杂的系统、频繁的更新传统防御方式的缺陷高级HTTP攻击工具的大量传播大量的Web漏洞传播7OWASP10大安全威胁(2004)A1.UnvalidatedInputA2.BrokenAccessControlA3.BrokenAuthentication/SessionManagementA4

2、.Cross-SiteScriptingFlawsA5.BufferOverflowsA6.InjectionFlawsA7.ImproperErrorHandlingA8.InsecureStorageA9.DenialofServiceA10.InsecureConfigurationManagement8OWASP10大安全威胁(2010)A1.InjectionA2.Cross-SiteScripting(XSS)A3.BrokenAuthenticationandSessionManagementA4.InsecureDirectObjectRe

3、ferencesA5.Cross-SiteRequestForgery(CSRF)A6.SecurityMisconfigurationA7.InsecureCryptographicStorageA8.FailuretoRestrictURLAccessA9.InsufficientTransportLayerProtectionA10.UnvalidatedRedirectsandForwards9Web攻击类型举例10SQL注入攻击者通过构造一个特殊的SQL查询语句获得对数据库或者系统的全面控制权,是目前最流行的攻击方式之一11SQL注入常见的Log

4、in请求:SELECT*FROMusersWHERElogin='victor'ANDpassword='123'(Ifitreturnssomethingthenlogin!)ASP/MSSQLServerloginsyntaxvarsql="SELECT*FROMusersWHERElogin='"+formusr+"'ANDpassword='"+formpwd+"'";12SQL注入formusr='or1=1––formpwd=anythingFinalquerywouldlooklikethis:SELECT*FROMusersWHEREuse

5、rname=''or1=1––ANDpassword='anything‘13跨站脚本(XSS)跨站脚本就是在加载网站页面上可运行的脚本,最终导致信息泄露。临时脚本,需要点击URL长期脚本,只需要简单的浏览14跨站脚本含XSS漏洞的应用32上传脚本、设置陷阱攻击者向网页上传有害脚本,并被存储在数据库中1受害者浏览脚本将受害者信息偷偷发送到攻击者手中脚本在受害者的浏览器中运行,就可获得对DOM对象和cookie的完全访问权限CustomCodeAccountsFinanceAdministrationTransactionsCommunicationKnow

6、ledgeMgmtE-CommerceBus.Functions15Cookie篡改cookie篡改是攻击者修改cookie(网站用户计算机中的个人信息)获得用户未授权信息,进而盗用身份的过程,攻击者可能使用此信息打开新账号或者获取用户已存在账号的存取权限。16传统的防御方式17防火墙防火墙仅作访问控制作用。防火墙并不是为Web应用而开发,不能识别应用层的信息。防火墙无法了解Web的输入内容,不考虑URL请求中的异常参数防火墙不可能检测SSL信息,而大量Web应用采用SSL加密18IPSIPS主要针对通用的应用开发,没有特别针对Web做优化和扩展。传统IP

7、S主要基于静态特征的方式进行检测,对层出不穷的Web应用漏洞无法覆盖。IPS只能简单处理Web攻击,无法确切了解攻击目标和代码内容。缺乏针对Web应用的理解导致IPS的误报率很高,对Web应用控制力度有限。19防篡改系统主要针对静态页面的非授权修改的防范,通过MD5等扫描验证来实现,实际是网页服务器功能的一个选项只是基于特征静态的对SQL注入和跨站进行防范,无法对高级注入和攻击进行防范无法对OWASP所定义的其他Web威胁进行防范不支持SSL加密的Web防护没有动态自学习过程,对网站的动态变化无能为力只适用于静态页面发布的站点,不适合动态事务处理的商业站点

8、20代码也是安全边界的重要部分FirewallHardenedOS

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。