WEB攻击与防护技术
徐震
信息安全国家重点实验室
提纲
一、背景概述
二、典型攻击
三、攻防原理
四、防护产品体系
网络安全监测系统对流量数据进行的抽样统计显示,Web 应用流量占整个TCP %
B/S居统治地位:网上银行、电子商务、电子政务、证劵、手机上网
3
SANS年发布的全球20大安全风险排行榜上,Web应用安全漏洞名列前茅,攻击者利用最多的漏洞是SQL注入及跨站脚本
根据国家计算机网络应急技术处理协调中心()上半年的工作报告显示,网站漏洞百出,被篡改的大陆网站数量明显上升,总数达到28367个,比去年全年增加近16%
. 相关政策、法规(1)
PCI DSS
美国,2008年PCI法案通过之后,要求提供信用卡网上支付超过一定营业额的企业,都需要配置Web应用防火墙或进行代码级应用安全加固。
等级保护与WEB应用安全的相关要求:
8
. 相关政策、法规(2)
级别
安全要求
第三级
网络安全:
访问控制(对进出网络的信息进行过滤,并使对HTTP等协议进行命令级控制)
入侵防范(木马、DDoS、缓冲区溢出)
安全审计
恶意代码防范
数据安全:
数据完整性(应能检测到重要业务数据的完整性破坏,并采取必要的恢复措施)
第二级
网络安全:
入侵防范(木马、DDoS、缓冲区溢出)
安全审计
WEB攻击与防护技术 来自淘豆网m.daumloan.com转载请标明出处.
