应用安全扫描工具APPSCAN培训教程v12.pptx

APPSCAN使用培训教程目录Web应用安全介绍Appscan简介Appscan的部署 Appscan使用介绍Appscan 报告与分析Appscan演示Web 应用基础概念InternetFirewallDatabaseApp Server(Business Logic)Web Server(Presentation)Client Tier(Browser)Middle TierData TierDesktopTransportNetwork我们当前的安全手段Information security landscapeWeb applicationsLegit network-level userAntivirusprotectionEncryption(SSL)Firewalls /IDS / IPSPort 80 443ApplicationserversBackendserverFirewallDatabasesWeb servers神话: “我们的网站是安全的”我们已经使用了防火墙我们每个季度都会进行渗透测试我们使用 SSL我们使用了网络扫描工具您的应用安全吗？桌面防火墙Web 应用IDS/IPS Cross Site ScriptingWeb Server Known VulnerabilitiesDoS Parameter TamperingAnti-spoofingPort ScanningPattern-based AttackCookie Poisoning Encoded-based AttackAntivirusProtection SQL InjectionWebapplicationsSpendingSecurityNetwork serverWEB应用安全的现状: 不平衡的投资和回报% of attacks% of dollars10%75%90%25%75%of all attacks on information securityare directed to the Web application layer2/3of all Web applications are vulnerable国内安全现状2011年，有199,665个网站曾被成功入侵（以页面计算），教育科研网站、网游相关网站和政府网站，是最容易被攻击植入木马的三种类型，分别占总体数量的31%、19%和15%2011年，几乎所有互联公司都曾遭遇了渗透测试、漏洞扫描、内网结构分析等安全事件，其中被黑客成功获取一定权限的公司，占总体比例的80%以上。根据瑞星公司进行的抽样测试，在访问量超过1万IP/日的网站中，存在10个以上严重漏洞的占75%，这些网站十分容易遭到黑客攻击国内安全现状企业网站和内网安全状况不容乐观在瑞星检测过的高等级涉密网络中，常见的安全问题包括XSS漏洞、文件读写权限不规范、泄漏敏感信息、弱口令等。尤其是弱口令和泄漏敏感信息，在90%以上的企业局域网中广泛存在当前系统安全威胁无处不在黑客团伙修改网上资料办假证 非法获利上亿记者：你们掌握孙建波为“绝密飞行”提供了多少分办假证的资料？山东省济南市公安局市中分局探长 毕经国：至少百余份。我们抓获了黑客绝密飞行后，在山东他的线被斩断了，他到西安又发展新的线……毕警官告诉记者，一年多来，他们通过黑客“绝密飞行”已经抓获了20多名犯罪嫌疑人，涉及山东、江苏、四川、陕西、海南等全国15个省，涉嫌攻击政府网站办理假证3000多份，总金额高达上亿元，而孙建波是整个案件中的核心人物之一。黑客为126辆走私车办证　曾经受聘为湖北省公安厅交警总队开发软件的工程师变身“黑客”利用“超级管理员”身份，破译密码进入公安厅车管系统。办起了地下车管所”先后为126辆高档小轿车料理假证号牌，非法获利1500余万元。侵篡教育网站伪造“真证书”——破获制售假学历大案 2010年06月27日 15:47:38 　来源： 新华网济南６月２７日电（记者王志）济南市公安局近日成功侦破一起新型制售假证大案。令人吃惊的是，与一般的制售假证件犯罪不同，这伙犯罪分子采取黑客攻击手段，入侵国家级教育网站和多所高校网站，篡改数据后大肆制作和销售假学历、假证书。??记者在调查中发现，由于在正规网站上能够查询到证书号，这些假证成为有备案的“真证书”，欺骗性更强，由此带来的社会危害性更大。更可怕的是，此类案件有多发的趋势，努力清除这一社会“毒瘤”十分紧迫。?“与以往假证制售多采取私刻教育部门或高校公章，私自加盖不同，这一犯罪团伙利用黑客手段直接入侵教育部门和高校的正规网站，按照个人和教育培训机构提供的信息数据，在网站后台数据库添加不存在的学历和证书信息。披上高科技‘外衣’的假证制售，隐蔽性很强，给打击防范带来很大难度。” 经公安