欢迎来到天天文库
浏览记录
ID:39339239
大小:1.04 MB
页数:45页
时间:2019-07-01
《web-应用安全解决方案》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、天存Web应用安全解决方案Web攻击事件-篡改网页www.shijiazhuang.gov.cn2www.tcxa.com.cnWeb攻击事件-篡改数据3www.tcxa.com.cnWeb攻击事件-跨站攻击www.icbc.com.cn4www.tcxa.com.cnWeb攻击事件-注入式攻击5www.tcxa.com.cn最近……6www.tcxa.com.cn03-07年网站篡改情况(资料来源:国家计算机网络应急技术处理协调中心)7www.tcxa.com.cn针对Web网站和应用的攻击非法上传网页非法篡改网页非法篡改数据库非法执行命令跨站提交信息网站资源盗链窃取脚本源程序窃取系统信息窃
2、取用户信息绕过身份认证拒绝服务攻击……8www.tcxa.com.cnWeb应用结构中间层(Web服务器)数据层(数据库服务器)客户端(Web浏览器)9www.tcxa.com.cnWeb安全全貌防火墙数据库服务器Web服务器应用服务器IPS/IDSWeb应用DoS攻击端口扫描网络层模式攻击已知Web服务器漏洞跨站脚本注入式攻击非法执行Cookie假冒??????10www.tcxa.com.cn传统网络安全设备防火墙限制地址和端口访问验证和加固网络协议入侵检测基于网络层的数据包检查问题Web端口谁来保护?应用数据谁来保护?如何保证公众浏览到的信息是原始的?11www.tcxa.com.cn风
3、险和投资75%25%10%90%Web应用网络服务器安全风险安全投资12www.tcxa.com.cn常见Web攻击类型威胁手段后果注入式攻击通过构造SQL语句对数据库进行非法查询黑客可以访问后端数据库,偷窃和修改数据跨站脚本攻击通过受害网站在客户端显不正当的内容和执行非法命令黑客可以对受害者客户端进行控制,盗窃用户信息上传假冒文件绕过管理员的限制上传任意类型的文件黑客可以篡改网页、图片和下载文件等不安全本地存储偷窃cookie和sessiontoken信息黑客获取用户关键资料,冒充用户身份非法执行脚本执行系统默认的脚本或自行上传的WebShell脚本等黑客完全控制服务器非法执行系统命令利用W
4、eb服务器漏洞上执行Shell命令Execute等黑客获得服务器信息源代码泄漏利用Web服务器漏洞或应用漏洞获得脚本源代码黑客分析源代码从而更有针对性的对网站攻击URL访问限制失效黑客可以访问非授权的资源连接黑客可以强行访问一些登陆网页、历史网页13www.tcxa.com.cn产生的原因操作系统系统已公布超过1万多个系统漏洞漏洞与补丁漏洞从发现到被利用最短为0天(0day攻击)官方补丁的平均发布时间为47天应用系统漏洞不同应用系统的不同的开发者现有技术架构下,网站漏洞长期存在14www.tcxa.com.cn如何防范及时给操作系统、web服务软件打补丁敦促每个开发者关注应用安全使用黑客工具模
5、拟攻击[黑盒测试]复查所有应用系统代码[白盒测试]更好的方法?15www.tcxa.com.cnWeb应用安全解决之道天存Web应用安全解决策略iGuard网页防篡改系统杜绝被篡改的网页被公众浏览杜绝被篡改的脚本被非法执行杜绝对数据库内容的非法访问和篡改iWall应用防火墙对提交给Web服务的http请求进行检查杜绝黑客利用Web系统和应用漏洞Web服务器核心内嵌技术17www.tcxa.com.cnWeb服务器核心内嵌模块硬件平台(X86/sparc/ItaniumII/PowerPC/PA-RISC)操作系统(Windows/Linux/FreeBSD/Solaris/AIX/HP-UX)
6、Web服务器软件(IIS/Apache/Weblogic/Websphere)安全核心内嵌模块requestresponse应用防护技术数字水印技术Web服务器18www.tcxa.com.cnWeb服务器核心内嵌技术技术优势不存在独立的安全模块运行进程精准理解和分析Web服务出入的数据全面控制Web服务器软件软件和服务全平台支持操作系统:支持Windows、Linux、UnixWeb服务器:支持IIS、Apache、J2EE19www.tcxa.com.cniGuard网页防篡改系统发布服务器核心内嵌-数字水印技术Web服务器FTP/rsync一般发布过程篡改检测模块自动发布子系统监控和恢
7、复子系统+篡改检测子系统SSL1.上传正常网页=X水印库2.浏览正常网页3.篡改网页4.浏览篡改网页5.自动恢复文件系统21www.tcxa.com.cn工作过程发布过程发布内嵌模块检测到文件创建/变化为文件产生加密和不可逆转数字水印通过SSL加密通道传送到Web服务器检测过程公众发出请求浏览网页应用防护子系统检查请求的合法性篡改检测子系统检查数字水印完整性辅助以增强型事件触发技术防护22ww
此文档下载收益归作者所有