web应用安全解决方案培训教材课件.pptVIP

* * 有的产品也说是以863项目为基础，但不是跟Web安全相关的项目 * 实现方式比较 项目 软件实现方式 硬件实现方式 部署点 Web服务器 网关 保护范围 一台Web服务器 一个网段 访问性能 影响小，无瓶颈效应 影响大，有瓶颈效应 单点失效 不可能 可能 升级 方便 可以 细粒度配置 方便 可以 成本 一般 较高 资质和技术 * 适用环境 纯静态架构的信息发布门户 iGuard标准版 动静结合的信息和应用综合门户 iGuard标准动态版 高安全需求的关键Web应用 iGuard标准版+iWall应用防火墙 * 权威安全部门检验 * 技术背景 天存公司 国家信息安全产业基地企业 上海信息安全行业协会会员 专业Web安全技术研发公司 技术 以国家863安全Web项目为基础（SWP01通用安全Web平台） 运用领先的Web服务器研究技术与成果 * Web安全全貌 防火墙 数据库服务器 Web服务器 应用服务器 IPS/IDS Web应用 DoS攻击 端口扫描 网络层 模式攻击 已知Web 服务器漏洞 跨站脚本 注入式攻击 非法执行 Cookie假冒 * Web应用安全产品 Web应用安全产品是现代网络安全架构的一个重要组成部分 Web应用安全产品着重进行应用层的内容检查和安全防御 Web应用安全产品与传统安全设备共同构成全面和有效的安全防护体系 成功案例 * 中国中央政府门户网站 中国政府官方网站 投标集成商一致选择,各方专家严格评审 按日访问量30,000,000设计 Linux * 26 2005年10月 www. * 中国网 中国互联网新闻中心,官方新闻网站 每天以8种文字更新网页300,000个 网站网页文件超过60,000,000个 Solaris * 13 + Linux * n 2003年10月 * 地方政府网站 北京市人民政府（首都之窗） 上海市政府（中国上海） 广州市政府（中国广州） 天津市政府（中国天津） * 运营商 中国网通集团 中国网通网上营业厅支付平台 中国网通宽带我世界门户网站 中国网通研究院 江苏电信、泉州电信、南通电信、资阳电信 北京移动、内蒙古移动、山西移动 * 官方网站和电子商务平台 基础安全项目/ IBM咨询 Windows / Linux / Solaris / AIX * 7*24小时保护网站的安全 产品覆盖区域 31个省、市、自治区 每天保护的网站/服务器数 400+ / 1000+ 每天保护的网页数 40,000,000P+ 每天保护的访问量 100,000,000PV+ 谢 谢 各 位！ ” 结束！ * * 中美黑客大战的时候，石家庄政府网站的首页被黑客篡改 * * 贵州党校网站-使用了山东中创的网页防篡改系统，黑客并没有去篡改用户的脚本文件而篡改了数据库内容。 名词解释： Sql注入攻击：攻击者在表单输入或URL参数中提交SQL语句的片断，如果应用程序未对输入经适当验证、正常化或转义，则这些片断会与程序脚本一起构成一个程序设计者预料之外的SQL语句，这条语句被数据库系统执行后将达到攻击者期望的各种目的，包括：绕过身份鉴别、偷取用户资料、查看和修改数据库、生成非法文件等 * * 06年底中国工商银行网站被黑。典型的跨站漏洞攻击。/news/news_detail.php?mID=8063 名词解释： 跨站漏洞：跨站脚本漏洞常常被称为XSS漏洞，它是指Web站点和应用未经适当过滤便将用户提交的信息原样显示在页面上，它允许攻击者指定的任意文字内容显示在被害者的浏览器中，甚至可以在用户浏览器上执行一个JavaScript语句，而这个JavaScript语句可以弹出窗口、获得用户信息等。通过社会工程，这种攻击还可以对网站所有者造成大规模形象破坏 * * 善意的黑客，发现了网站存在sql注入漏洞，并利用此漏洞上传了一个警告页面。并指出了网站存在漏洞。 那么如果这个黑客不那么友善，直接攻击数据库呢？后果参照第三页，贵州省党校案例 * * 攻击事件天天时时在发生 * * 网站篡改事件逐年增加 * * 除了网页篡改，还有很多针对Web网站和应用的攻击。但是这么多攻击模式中，只有非法上传网页和非法篡改网页才是网页防篡改产品的防范范围。那么余下这么多的攻击模式，我们该怎么办？ 在讲解这个页面的时候，需要对用户（你所面对的交流对象）进行总结：网页防篡改产品不等于网站安全。也就是即便采用了网页防篡改软件也不能全面的保护网站不被黑！！！！！ * * 我们可以认为， 1、工商银行这个用户肯定采用了最好的、最贵的防火墙和ips、ids产品，同时能够承接工行网站开发的软件公司肯定也是顶级的。但是为啥网站照样被黑？ 2、贵州省党校肯定也用了防火墙等网络安全产