日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
OWASP2010范淵:中國WEB安全5年發(fā)展歷程及趨勢(shì)與挑戰(zhàn)

【.com 獨(dú)家報(bào)道】2010年10月22日消息,盛大的OWASP大會(huì)終于在京召開。當(dāng)然也少不了各位安全領(lǐng)域的各位高手的演講。其中就有安恒信息的范淵為我們演講。作為特邀媒體,將會(huì)全程跟蹤報(bào)道,有關(guān)OWASP會(huì)議詳細(xì)情況請(qǐng)瀏覽 OWASP 2010中國峰會(huì)專題報(bào)道。下面是范淵的演講實(shí)錄:

創(chuàng)新互聯(lián)專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù),包含不限于網(wǎng)站設(shè)計(jì)、網(wǎng)站建設(shè)、云夢(mèng)網(wǎng)絡(luò)推廣、微信小程序、云夢(mèng)網(wǎng)絡(luò)營銷、云夢(mèng)企業(yè)策劃、云夢(mèng)品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運(yùn)營等,從售前售中售后,我們都將竭誠為您服務(wù),您的肯定,是我們最大的嘉獎(jiǎng);創(chuàng)新互聯(lián)為所有大學(xué)生創(chuàng)業(yè)者提供云夢(mèng)建站搭建服務(wù),24小時(shí)服務(wù)熱線:18980820575,官方網(wǎng)址:www.cdcxhl.com

范淵:各位嘉賓、各位朋友,大家上午好!

范淵:其實(shí)講安全應(yīng)該從05年開始,05年我在美國有一個(gè)演講,就是在關(guān)于WEB安全的日常檢測(cè)。從06年開始攻擊事件急速的增加,在中國被篡改網(wǎng)站的數(shù)量也急劇增加。而且這里面一個(gè)很重要的特點(diǎn)是從七八年前會(huì)出現(xiàn)有人會(huì)炫耀,其實(shí)那個(gè)時(shí)候黑客產(chǎn)業(yè)鏈這一塊開始浮出水面。06年大家開始關(guān)注取證式的WEB應(yīng)用弱點(diǎn)掃描,等一下我會(huì)講到這個(gè)歷程,比如安全開發(fā)、安全開發(fā)、安全部署等一系列安全體系構(gòu)成了我們WEB應(yīng)用安全的整體。07年是WEB2.0這樣的名字開始大量出現(xiàn),實(shí)際當(dāng)時(shí)使用WEB2.0的還不是很多,包括國外的社區(qū)和國內(nèi)都出現(xiàn)類似利用跨站,WEB安全漏洞給人家很多在視覺和信用上的傳播。

范淵講道:黑客產(chǎn)業(yè)鏈這個(gè)話題,實(shí)際在過去和之前大家都收到過很多郵件,通過欺騙希望你點(diǎn)擊以后中招,但是后來慢慢發(fā)展到郵件和在線的交談依然是一個(gè)媒體,但是這個(gè)媒體主要是送給你一個(gè)(英文),利用這個(gè)使你掛馬,達(dá)到它間接的攻擊,而且這個(gè)攻擊的隱蔽性非常強(qiáng),它的效果非常好。因?yàn)楹诳彤a(chǎn)業(yè)鏈必然以經(jīng)濟(jì)為基礎(chǔ),所以它需要追求用最低的成本達(dá)到最大的效益和最好的效果。每天有幾十萬訪問量的網(wǎng)站和在線業(yè)務(wù),比如網(wǎng)上營業(yè)廳、網(wǎng)上銀行,所有這些必然會(huì)成為它最直接可以利用的途徑。當(dāng)然這里面很復(fù)雜,而且他們有控制人、有買賣,有地下交易,還有洗錢,這些都可能在不同的國家發(fā)生。

范淵說:08年里程碑的事件是奧運(yùn)會(huì)是非常成功的盛會(huì),但是其實(shí)它背后有很多故事,我是奧組委安全專家組的成員,在奧運(yùn)大廈有好多次討論相關(guān)的攻擊防范,實(shí)際在奧運(yùn)會(huì)開幕前的說十個(gè)月我們已經(jīng)開始對(duì)奧組委相關(guān)的網(wǎng)站進(jìn)行相應(yīng)的加固,實(shí)際奧組委網(wǎng)站改版很多次,但是大家可能沒有意識(shí)到。這當(dāng)中也發(fā)生很多有意思的事情,奧運(yùn)會(huì)這次給大家的最大的好處就是在于安全意識(shí)的提高,這個(gè)跟我們OWASP講的精神也一樣。

范淵還說:08年還有一件很重要的事情,就是群注風(fēng)暴,全球大概有10萬個(gè)網(wǎng)站被掛馬,它是批量注入,利用應(yīng)用程序的弱點(diǎn),通過篡改參數(shù)來達(dá)到或控制修改后臺(tái)數(shù)據(jù)庫,禁止達(dá)到控制所有相關(guān)攻擊的目的。那么通過什么來發(fā)現(xiàn)它呢?最簡單的手段就是google,因?yàn)樗軌蚍浅8咝У母嬖V你有多少網(wǎng)站。它所達(dá)到的效果是對(duì)于后臺(tái)所有字符型的字段里面插入一段惡意代碼,這段小的腳本就在這里,這段腳本達(dá)到的目的是用戶插入數(shù)據(jù)庫,后臺(tái)的數(shù)據(jù)庫因?yàn)槭莿?dòng)態(tài)頁面,會(huì)有動(dòng)態(tài)的信息展示,展示的過程中任何任何用戶訪問這個(gè)網(wǎng)站,它其實(shí)就會(huì)執(zhí)行這個(gè)JS,進(jìn)而去種植到本地實(shí)際上美國有很多資深 的安全公司的資深網(wǎng)站也在這次群注中落馬。當(dāng)時(shí)安全小組發(fā)現(xiàn)一臺(tái)肉雞在做這個(gè)事情,這段自動(dòng)化工具寫的比較精悍,但是非常實(shí)用,而且大家注意到它用到了一點(diǎn)點(diǎn)的繞過。這個(gè)是它的配置文件,非常簡明而實(shí)用,高效而實(shí)用。因?yàn)樗窍M軌蚋痈咝ВF(xiàn)成配置這些東西。

范淵說道:經(jīng)過這一年多,我覺得安全的意識(shí)大家有很大的提高,到09年時(shí)我們?cè)谥袊幸淮螛?biāo)桿性的事件,就是國慶六十周年的安保。國慶六十周年的安保請(qǐng)公安部和通信安全中心對(duì)全國的網(wǎng)站進(jìn)行抽樣,在隨機(jī)抽樣的檢測(cè)中大概有一半的網(wǎng)站存在嚴(yán)重的問題,就是可以隨意的注入畫面等東西。這是一些統(tǒng)計(jì)數(shù)據(jù),注入畫面表單繞過是非常嚴(yán)重的,事實(shí)上這些數(shù)據(jù)反過來驗(yàn)證了數(shù)據(jù)的寶貴性和統(tǒng)計(jì)的準(zhǔn)確性,像注入、跨站這類的問題每年都排在非常前面。在這個(gè)過程中發(fā)現(xiàn)有一些網(wǎng)站甚至是已經(jīng)被掛馬或者已經(jīng)被控制。

范淵還講道:到了10年,在WEB安全方面有兩塊大的事情,一類是遠(yuǎn)程執(zhí)行任意代碼事件,比如像我們有些網(wǎng)站用BBS等第三方模塊,反過來說明應(yīng)用安全、整體安全一定要提升的。遠(yuǎn)程攻擊者可以在這個(gè)系統(tǒng)上執(zhí)行任何的命名,這樣它的遠(yuǎn)程攻擊的威脅性、嚴(yán)重性都是非常明顯的。還有一個(gè)漏洞 是。NET的攻擊信泄露漏洞,說到這個(gè)想到了實(shí)施防范里面的那些原理,其實(shí)在攻擊過程當(dāng)中我們很多時(shí)候是利用返回不同的信息達(dá)到我們的效果。

范淵最后說道:今年黑帽子大會(huì)上有位專家講到云計(jì)算是安全的一場(chǎng)惡夢(mèng),事實(shí)上本身我們自己網(wǎng)絡(luò)內(nèi)的安全都還管不好的情況下,應(yīng)用安全都管不好的情況下,你硬去相信一朵云,這朵云你從來都沒有見過,這塊的挑戰(zhàn)確實(shí)是巨大的。還有是手機(jī)互聯(lián)網(wǎng),智能終端又變成受害者之一。核心互聯(lián)網(wǎng)網(wǎng)上的挑戰(zhàn)也會(huì)非常嚴(yán)峻 ,為什么這樣說呢?現(xiàn)在隨著經(jīng)濟(jì)利益的驅(qū)動(dòng),其實(shí)最好的效果是在于有大量的有價(jià)值信息的,比如說網(wǎng)上銀行,比如說網(wǎng)上證券交易,比如說網(wǎng)上營業(yè)廳,比如說電子政務(wù)相關(guān)的一些東西,比如說網(wǎng)游,這些都會(huì)成為實(shí)際的目標(biāo)。在這里面的矛與盾始終在對(duì)抗,在這當(dāng)中應(yīng)用安全和數(shù)據(jù)安全的價(jià)值會(huì)更大的促進(jìn)體系,因?yàn)椴还苁且苿?dòng)互聯(lián)網(wǎng)還是云計(jì)算,不管我們的核心業(yè)務(wù)在外還是在內(nèi),實(shí)際上是應(yīng)用為王、業(yè)務(wù)為王,不可否認(rèn)的是網(wǎng)絡(luò)站面臨的挑戰(zhàn)依然存在。

范淵:因?yàn)闀r(shí)間關(guān)系,主要講到這里,謝謝大家!

【編輯推薦】

  1. OWASP 2010中國峰會(huì) 現(xiàn)場(chǎng)演講嘉賓介紹
  2. OWASP 2010中國峰會(huì)現(xiàn)場(chǎng)圖文集錦
  3. OWASP召開年度Web安全盛會(huì) 解讀應(yīng)用安全趨勢(shì)發(fā)展
  4. OWASP 2010中國峰會(huì)專題報(bào)道 

分享名稱:OWASP2010范淵:中國WEB安全5年發(fā)展歷程及趨勢(shì)與挑戰(zhàn)
當(dāng)前URL:http://www.5511xx.com/article/cdsseph.html