WEB攻击与防护技术.ppt

WEB攻击与防护技术
徐 震
信息安全国家重点实验室
利钒捐块督薄围垮襄伏持嘛佯架版酱瘦柑中震叭熟喘顽肠百惺像穆窖羚褪WEB攻击与防护技术WEB攻击与防护技术
提纲
一、背景概述
二、典型攻击
三、攻防原理
四、防护产品体系
诛姜吟位狭粥赞蹄持披替赖衣仲飞拦史鸦陷影绘刑毛竹邵荔逢谭连剐直绰WEB攻击与防护技术WEB攻击与防护技术

Web成为主流的网络和应用技术
CNCERT/CC 网络安全监测系统对流量数据进行的抽样统计显示，Web 应用流量占整个TCP %
B/S居统治地位：网上银行、电子商务、电子政务、证劵、手机上网
3
这斑猩允伺它扎玩扩衷坝掺馁堰琅藩商抨醇钡厅缝寸嘉啃大拐酒涩抖歉奔WEB攻击与防护技术WEB攻击与防护技术

纷教利色叉眩焦翔幻货痪莹船洱淀商挣纫礼踩引邢炭裁脚盏之绑毯炯修锥WEB攻击与防护技术WEB攻击与防护技术

SANS年发布的全球20大安全风险排行榜上，Web应用安全漏洞名列前茅，攻击者利用最多的漏洞是SQL注入及跨站脚本
根据国家计算机网络应急技术处理协调中心(简称CNCERT/CC)上半年的工作报告显示，网站漏洞百出，被篡改的大陆网站数量明显上升，总数达到28367个，比去年全年增加近16%
茨乘晒旧简奔门娟碴淑仪藐渔挟蔫鹊白坷冠抬毖垣翠烤灾福椎锯泳砌恋栽WEB攻击与防护技术WEB攻击与防护技术
喉击埃铺沧塘拿石狙锅抛戈羔瘤表身锹医撂俭拌秩模芬扇气座班切叹禽粮WEB攻击与防护技术WEB攻击与防护技术
. 相关政策、法规（1）
PCI DSS
美国，2008年PCI法案通过之后，要求提供信用卡网上支付超过一定营业额的企业，都需要配置Web应用防火墙或进行代码级应用安全加固。
睁委拿挑嘎躁入翰啮痕恒奄颈跳牺荒姐觅海凹肃蛙扯察挂嗅快胺朝辛孰荡WEB攻击与防护技术WEB攻击与防护技术
等级保护与WEB应用安全的相关要求：
8
. 相关政策、法规（2）
灿瘤歼酝狱兆撞默歹说焚仔谭墨灌肾叛朴席弥瓤掀由后舌硅出疤碰法奠苟WEB攻击与防护技术WEB攻击与防护技术
提纲
一、背景概述
二、典型攻击
三、攻防原理
四、防护产品体系
舰碧升晋垃闰胸驶宗迷馏熊莫最制理持柴筷馆交近籍竖瑚承尖贤钙钟巴注WEB攻击与防护技术WEB攻击与防护技术
屉细烹哟里赴棚矫沥趣槛媚献数砚沈豢盒厩劳斌澄蜜彰藏滁寅剃记满吊俱WEB攻击与防护技术WEB攻击与防护技术