欢迎来到天天文库
浏览记录
ID:43936351
大小:1.70 MB
页数:29页
时间:2019-10-17
《SecureSphere WAF Presentation》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、ImpervaSecureSphereWebApplicationFirewall應用程式資料安全及服務的領導品牌WebApplicationFirewalls的市場領導品牌資料庫稽核、監控及安全的市場領導品牌最令人深刻的資料安全及以客戶服務為基礎企業於2002年成立Imperva,並於2003年推出第一支產品全球性的企業美國企業總部位於加洲;全球總部位於以色列於大多數的主要市場皆有服務據點,如:英國、法國、德國、日本、中國及台灣等超過50%的盈收來自於北美境外於全球有超過50家的通路商於2007年已有超過500個企業使用由CEOS
2、hlomoKramer領導經驗豐富的管理團隊,Imperva創立團隊有三分之一來自於CheckPointImperva公司簡介網站弱點造成:網站中斷、網頁入侵、資料庫內容被竊造成直接或間接的財務損失企業形象損失服務中斷合作夥伴流失客戶流失法律訴訟究責公司停擺賤賣財產求生存接受政府、內外單位的調查罰款接受更嚴厲的規範網站的弱點對企業造成的衝擊SecurityBreachesOfCustomers'DataTriggerLawsuitsWallStreetJournalAndrewSchultzwasjustoneofmanyconsu
3、merswhosebanksnotifiedthemlastmonththatcomputerhackershadfilchedtheircredit-anddebit-cardinformation…CardCenterHitbyThievesAgreestoSaleByERICDASH(NYT);Business/FinancialDeskAbiometricspaymentcompanyhassteppedintobuytheassetsofCardSystemsSolutions.FTCsettleswithCardSyst
4、emsoverdatabreachAcreditcard-processingcompanyagreedtosettleallegationsthatitfailedtoprotectconsumerdata,resultinginmillionsofdollarsinfraudulentpurchases.網頁應用程式的風險92%的網頁應用程式存在弱點CrossSiteScripting(XSS/跨站腳本攻擊)–80%SQLInjection(資料庫指令植入攻擊)–62%ParameterTampering(參數竄改)–60%93%
5、ofvulnerablesites-stillvulnerableaftercodefixes網頁攻擊事件不斷增加中SQLinjection去年攻擊事件增加超過1000%(IT安全提供廠商:由1月到4月平均每天偵測到的數量由100次增加到8000次)信用卡或交易資料被竊:AT&T,RIGov,TJX,Moneygram,PortTix,PayEasy,東森購物XSSexploits:NetScape,Amazon,Google,Facebook,MySpace新型態的安全防禦機制是必要的NetworkAccess(OSILayer1–
6、3)Protocols(OSILayer4–7)Application(NewLayer8+)NetworkLayerApplicationLayerDataLayer傳統防火牆只偵測網路層的攻擊只檢查IP位置,網路服務埠號(TCP/UDPserviceport)IPS設備只檢查已知的攻擊特徵無法解讀應用程式內容;造成高度的誤判及漏判無法追蹤使用者及連線資訊;無法保護SSL流量只有WebApplicationFirewall能阻止應用程式層的攻擊!PerimeterFirewallNetworkFirewallDataCenter
7、FirewallImpervaSecureSphereWebApplicationFirewallDepartmentalFirewallIntrusionPreventionSystem(IPS)&DeepInspectionFirewallDynamicPositiveSecurityModelDynamicProfiling:動態學習網站內容自動將應用程式架構整理出來經由實際的流量學習應用程式中的元件URL、cookie、parameter/form(參數表單欄位)、session、HTTPmethod、userXMLURL、S
8、OAPaction、XMLelement自動學習可以接受的行為參數及cookie是否可以被使用者修改(read-only)?表單欄位的長度及型態是什麼?哪些字元是可以被接受的?表單欄位是必要的還是可選擇不輸入?解除了下列
此文档下载收益归作者所有