web安全测试入门

web安全测试入门

ID:21625782

大小:225.50 KB

页数:13页

时间:2018-10-23

web安全测试入门_第1页
web安全测试入门_第2页
web安全测试入门_第3页
web安全测试入门_第4页
web安全测试入门_第5页
资源描述:

《web安全测试入门》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、目录序言31当前Web安全现状32常见针对Web应用攻击的十大手段63通过-Rational-AppScan如何应对网站攻击94-Rational-AppScan深入介绍115-Rational-AppScan的使用场景126.为企业带来的收益137.总结14序言互联网的发展历史也可以说是攻击与防护不断交织发展的过程。当前,Web安全性已经提高一个空前的高度,然而针对网站的攻击却频频得手。如何最大化的保护Web应用呢,IBM-Rational-提出了全面的解决方案。本文将针对Web安全的现状、根源、以及-Rational-AppScan产品的技术细节做全面的介绍,最

2、后阐述IBM解决方案给企业带来的深层次价值。1当前Web安全现状  互联网的发展历史也可以说是攻击与防护不断交织发展的过程。目前,全球因特网用户已达13.5亿,用户利用网络进行购物、银行转账支付和各种软件下载,企业用户更是依赖于互联网构建他们的核心业务,对此,Web安全性已经提高一个空前的高度。  然而,现实世界中,针对网站的攻击愈演愈烈,频频得手。CardSystems是美国一家专门处理信用卡交易资料的厂商。该公司为万事达(Master)、维萨(Visa)和美国运通卡等主要信用卡组织提供数据外包服务,负责审核商家传来的消费者信用卡号码、有效期等信息,审核后再传送给

3、银行完成付款手续。这家公司为超过10万家企业处理信用卡信息,每年业务金额超过150亿美元。这家已有15年历史的公司怎么也没想到,居然有黑客恶意侵入了它的电脑系统,窃取了4000万张信用卡的资料。这些资料包括持卡人的姓名、账户号码等。这是美国有史以来最严重的信用卡资料泄密事件。此次攻击事件不仅仅对消费者,对公司造成了巨大的损失,甚至对美国的信用卡产业产生了严重的影响!  1.1Web安全的认识误区  然而什么才是Web安全呢,或者说什么样的网站才是安全的呢?用户往往有一些常见的误区。  “Web网站使用了防火墙,所以很安全”  无论是应用级还是端口级的防火墙针对的都是

4、网络层面的攻击,通过设置可访问的端口或者应用,把恶意访问排除在外,然而如何鉴别善意访问和恶意访问是一个问题。访问一旦被允许,后续的安全问题就不是防火墙能应对了。  “Web网站使用了IDS,所以很安全”  通过模式识别对网络层面的攻击做出防护措施。然而类似于防火墙,通过利用程序漏洞,通过正常连接进行攻击的访问无法被识别和处理。  “Web网站使用了SSL加密,所以很安全”  SSL对网站发送和接收的信息都进行加密处理,然而SSL无法保障存储在网站里的信息的安全和网站访问者的隐私信息。采用64位甚至128位SSL加密的网站被黑客攻陷的例子举不胜举。  “漏洞扫描工具没

5、发现任何问题,所以很安全”  当前漏洞扫描工具已经被广泛使用去查找一些明显的网络安全漏洞。同理,扫描工具无法对网站应用程序进行检测,无法查找应用本身的漏洞。  “我们每季度都会聘用安全人员(PenTester)进行审计,所以很安全”  人为的检测考察不仅仅效率低,不可控因素也较多,同时对于代码变更频繁的今天,PenTester也无法满足全面的安全需求  然而这些方法远远不能保障Web应用的安全,针对应用层面的攻击可以轻松的突破防火墙保护的网站。例如:最为常见的SQL注入攻击表现层面完全是正常的数据交互查询。对于防火墙或者入侵检测系统而言,这是最为正常的访问连接,没有

6、任何特征能够说明此种访问连接存在恶意攻击。所以,一些简单的SQL注入语句就可以使得装备昂贵网络安全设备的网站被轻松攻破。  1.2Web安全现状  令人惊诧的是,几乎所有关注Web安全领域的人都会存在着上面我们阐述的误区,而当前Web的安全现状也同时证明了这些误区的普遍性。“防火墙、IDS是主要安全手段,SSL保证了安全性,…”与之相对的是:互联网发展到今天,75%的安全问题竟然是出现在应用程序本身。正如上面介绍的SQL注入攻击一样,这是防火墙、SSL、入侵检测系统无法预防、解决、和应对的!  如下图所示,目前安全投资中,只有10%花在了如何防护应用安全漏洞,而这却

7、是75%的攻击来源――10%Vs75%,这是多么大的差距!这也是造成当前Web站点频频被攻陷的一个重要因素。  图1.当前安全现状统计分析图    那么,什么样的防护才是一个完整的解决方案呢?通过附图2我们可以看到,一个完整的Web防护不仅仅包含了常见的IDS、Firewall等防护手段,更需要针对应用本身做好安全防护,这也是解决75%安全漏洞的手段。那么什么样的攻击是防火墙、IDS、或者SSL无法应对的呢,他们又是如何利用应用本身的漏洞进行攻击的呢?下面我们将做详细的阐述。  图2.Web应用的网络防护  2常见针对Web应用攻击的十大手段  目前常用的针对应

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。