WEB安全隐患及防御.pptVIP

* 一句话，简单带来普及，也正是简单带来诸多安全问题。 * 　　 * 网站瘫痪是让服务中断。使用DDOS攻击都可以让网站瘫痪，但对Web服务内部没有损害，而网络入侵，可以删除文件、停止进程，让Web服务器彻底无法恢复。一般来说，这种做法是索要金钱或恶意竞争的要挟，也可能是显示他的技术高超，拿你的网站被攻击作为宣传他的工具。 ：这是最危险的攻击者，篡改网站数据库，或者是动态页面的控制程序，表面上没有什么变化，很不容易发觉，是最常见的经济利益入侵。数据篡改的危害是难以估量的，比如：购物网站可以修改你帐号金额或交易记录，政府审批网站可以修改行政审批结果，企业ERP可以修改销售定单或成交价格… 有人说采用加密协议可以防止入侵，如https协议，这种说法是不准确的。首先Web服务是面向大众的，不可以完全使用加密方式，在企业内部的Web服务上可以采用，但大家都是“内部人员”，加密方式是共知的;其次，加密可以防止别人“窃听”，但入侵者可以冒充正规用户，一样可以入侵;再者，“中间人劫持”同样可以窃听加密的通讯。 整个市场处于井喷的边缘。 2011年网络信息安全技术展会 多维防护，实现Web安全 西安交大捷普网络科技有限责任公司 全面安全 超越所想 内容总览 如何解决Web安全 3. 捷普Web安全解决方案 4. Web安全现状 1. Web安全分析 2. 一、Web安全现状 -------目前Web安全到底怎么样？ 1.一些数据的启示 几起必威体育精装版安全事件： 2010年9月3日，大型社交类网站被曝存在SQL注入漏洞，黑客利用此漏洞获取到3200万用户记录（包括E-mail、姓名及明文方式的密码），对于攻击者来说最精彩的部分在于海量的数据全部采用明文方式存储。 2010年7月8日，全球最大的BT种子伺服器海盗湾（The Pirate Bay）被一群自称来自阿根廷的黑客攻破。据了解，黑客是通过SQL漏洞获得用户数据库和管理员界面信息的，泄露的数据中包括用户名、MD5哈希密码、电子邮件地址和IP地址等。 仅2010年上半年，中国教育网体检中心对教育网站平台挂马检测显示，攻击425个教育网顶级域名下的1375个网站被挂马，挂马率为3.88%，被挂马网站的数量呈现快速增长趋势。 波士顿（MA）-sophos公布的安全报告显示，互联网平均每天有9500个网页被挂马，这一数据还在高速上涨。Mal/iFrame的挂马方式占65.5%，JS/EncIFra与Troj/Decdec分别为6.9%和6.5%。其中，中国的挂马数量占绝对优势，占53.2%。美国27.4%。德国5.1%。 Web安全市场 根据IDC公布的报告，全球Web安全市场将会在2012年前达到65亿美元的规模。 来自Gartner的数据表明，当前网络上75%的攻击是针对WEB应用的。 根据Gartner在第二季度公布的统计数字，全球Web安全产品的使用程度相当低，仅有10%的企业部署了真正意义上的Web安全网关。 2.从服务器端看Web安全 Web应用非常广泛，各个企事业单位都有基于Web平台的应用系统或网站系统； 传统的防护措施已基本到位，防火墙、IDS/IPS等安全产品已对用户网路进行了基本的安全过滤和监控，但唯独Web端口来去自由，如入无人之境！ 80端口安全，即Web安全，一触即发。攻击、木马、病毒等必经之道！ 传统网络安全产品-防火墙、IDS\IPS、UTM等对此无能为力！ 3.从客户端看Web XP SP3之后系统内置个人防火墙； Wifi路由器内置防火墙； 黑客主动发起攻击已不奏效，而利用Web网页挂马、邮件钓鱼等手段则可以“悄然”出击； Web安全涉及每一位网络使用者，随意的点击之间，暗藏杀机。银行帐户、QQ帐户等频频被盗。谁可信，谁不可信，用户迷茫。 恶意代码 Hacker 访问者 盗取支付密码 盗取交易账号 网络诈骗 盗取QQ账号 二、Web安全分析 -------Web安全事件的成因 1.Web架构简单，促进互联网流行 互联网能够快速流行得益于Web部署上的简单，开发上简便，Web网页的开发大军迅速超过了以往任何计算机语言的爱好者，普及带来了应用上繁荣； 但随着Web2.0的广泛使用，Web服务不再只是信息发布，游戏中的装备交易、日常生活中网上购物、政府行政审批、企业资源管理…信息价值的诱惑，人的贪婪开始显现，不是所有的人都有Web设计者的“大同”思想，安全问题日显突出了； 浏览器可以直接看到页面的Html代码， Web服务设计没有过多的安全考虑。 2.从Web架构分析Web安全 从Web架构分析Web安全 Web服务构成 静态网页以文件形式存放在服务器磁盘上； 动态程序也以文件形式存放在服务器磁盘上； 动态的信息存放在数据库中； 用