国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　ZDNET安全頻道報(bào)道(文/毅東)2010年10月22日，OWASP 2010中國峰會在北京新世紀(jì)日航酒店召開，以“大融合時(shí)代應(yīng)用安全”為主題，希望通過本次會議能夠更好推動應(yīng)用安全技術(shù)在國內(nèi)的發(fā)展。安恒信息創(chuàng)始人范淵做了《綜觀中國Web安全5年發(fā)展歷程及趨勢與挑戰(zhàn)》的主題演講。全文如下：

　　其實(shí)講安全應(yīng)該從2005年開始，2005年我在美國有一個演講，就是在關(guān)于Web安全的日常檢測。從2006年開始攻擊事件急速的增加，在中國被篡改網(wǎng)站的數(shù)量也急劇增加。而且這里面一個很重要的特點(diǎn)是從七八年前會出現(xiàn)炫耀技術(shù)，從那時(shí)黑客產(chǎn)業(yè)鏈開始浮出水面。2006年大家開始關(guān)注取證式的WEB應(yīng)用弱點(diǎn)掃描，比如安全開發(fā)、安全部署等一系列安全體系構(gòu)成了我們WEB應(yīng)用安全的整體。2007年開始大量出現(xiàn)，實(shí)際當(dāng)時(shí)使用WEB2.0的還不是很多，包括國外的社區(qū)和國內(nèi)都出現(xiàn)類似利用跨站，Web安全漏洞給人家很多在視覺和信用上的傳播。

　　講到黑客產(chǎn)業(yè)鏈，實(shí)際在過去和之前大家都收到過很多郵件，通過欺騙希望你點(diǎn)擊以后中招，后來發(fā)展到在線業(yè)務(wù)，利用這個掛馬，達(dá)到黑客間接攻擊，而且這個攻擊的隱蔽性非常強(qiáng)，它的效果非常好。因?yàn)楹诳彤a(chǎn)業(yè)鏈必然以經(jīng)濟(jì)為基礎(chǔ)，所以它需要追求用最低的成本達(dá)到最大的效益和最好的效果。每天有幾十萬訪問量的網(wǎng)站和在線業(yè)務(wù)，比如網(wǎng)上營業(yè)廳、網(wǎng)上銀行，所有這些必然會成為最直接可以利用的途徑。當(dāng)然這里面很復(fù)雜，而且他們有控制人、有買賣，有地下交易，還有洗錢，這些都可能在不同的國家發(fā)生。

　　2008年里程碑的事件是奧運(yùn)會，但是它背后有很多故事，我是奧組委安全專家組的成員，在奧運(yùn)大廈有好多次討論相關(guān)的攻擊防范，實(shí)際在奧運(yùn)會開幕前的十個月我們已經(jīng)開始對奧組委相關(guān)的網(wǎng)站進(jìn)行相應(yīng)的加固，實(shí)際奧組委網(wǎng)站改版很多次，但是大家可能沒有意識到。這當(dāng)中也發(fā)生很多有意思的事情，奧運(yùn)會給安全業(yè)界最大的啟發(fā)就是安全意識的提高，這與OWASP講的精神一樣。

　　2008年還有一件很重要的事情，就是群注風(fēng)暴，全球大概有10萬個網(wǎng)站被掛馬，它是批量注入，利用應(yīng)用程序的弱點(diǎn)，通過篡改參數(shù)來達(dá)到或控制修改后臺，禁止達(dá)到控制所有相關(guān)攻擊的目的。那么通過什么來發(fā)現(xiàn)它呢？最簡單的手段就是，因?yàn)樗軌蚍浅８咝У母嬖V你有多少網(wǎng)站。它所達(dá)到的效果是對后臺所有字符型的字段里面插入一段，這段腳本達(dá)到的目的是用戶插入數(shù)據(jù)庫，后臺的數(shù)據(jù)庫因?yàn)槭莿討B(tài)頁面，會有動態(tài)的信息展示，展示的過程中任何用戶訪問這個網(wǎng)站，它其實(shí)就會執(zhí)行這個JS，進(jìn)而去種植到本地。實(shí)際上美國有很多資深的安全公司的網(wǎng)站也在這次群注中落馬。當(dāng)時(shí)安全小組發(fā)現(xiàn)一臺肉雞在做這個事情，這段工具寫的比較精悍，但是非常實(shí)用，而且大家注意到它用到了一點(diǎn)點(diǎn)的繞過。

　　經(jīng)過2008年，我覺得安全的意識大家有很大的提高，到2009年時(shí)，中國的標(biāo)志性事件是國慶六十周年安保。國慶六十周年的安保請公安部和通信安全中心對全國的網(wǎng)站進(jìn)行抽樣，在隨機(jī)抽樣的檢測中大概有一半的網(wǎng)站存在嚴(yán)重的問題，就是可以隨意的注入畫面等東西。通過一些統(tǒng)計(jì)數(shù)據(jù)，注入畫面表單繞過是非常嚴(yán)重的，事實(shí)上這些數(shù)據(jù)反過來驗(yàn)證了數(shù)據(jù)的寶貴性和統(tǒng)計(jì)的準(zhǔn)確性，像注入、跨站這類的問題每年都排在非常前面。在這個過程中發(fā)現(xiàn)有一些網(wǎng)站甚至是已經(jīng)被掛馬或者已經(jīng)被控制。

　　到了2010年，在Web安全方面有兩個方面，一類是遠(yuǎn)程執(zhí)行任意代碼事件，比如像我們有些網(wǎng)站用BBS等第三方，反過來說明應(yīng)用安全、整體安全一定要提升的。遠(yuǎn)程攻擊者可以在這個系統(tǒng)上執(zhí)行任何的命名，這樣它的遠(yuǎn)程攻擊的威脅性、嚴(yán)重性都是非常明顯的。還有一個漏洞是.NET的攻擊泄露漏洞，說到這個想到了實(shí)施防范里面的原理，其實(shí)在攻擊過程當(dāng)中我們很多時(shí)候是利用返回不同的信息達(dá)到我們的效果。

　　今年黑帽子大會上有位專家講到是安全的一場惡夢，事實(shí)上本身我們自己網(wǎng)絡(luò)內(nèi)的安全都還管不好的情況下，應(yīng)用安全都管不好的情況下，你硬去相信一朵云，這朵云你從來都沒有見過，這塊的挑戰(zhàn)確實(shí)是巨大的。還有，智能終端又變成受害者之一。核心網(wǎng)上的挑戰(zhàn)也會非常嚴(yán)峻 ，為什么這樣說呢？現(xiàn)在隨著經(jīng)濟(jì)利益的驅(qū)動，其實(shí)最好的效果是在于有大量的有價(jià)值信息的，比如說網(wǎng)上銀行，比如說網(wǎng)上證券交易，比如說網(wǎng)上營業(yè)廳，比如說電子政務(wù)相關(guān)的一些東西，比如說網(wǎng)游，這些都會成為實(shí)際的目標(biāo)。其中矛與盾始終在對抗，在這當(dāng)中應(yīng)用安全和數(shù)據(jù)安全的價(jià)值會更大的促進(jìn)體系的發(fā)展，因?yàn)椴还苁且苿踊ヂ?lián)網(wǎng)還是云計(jì)算，不管我們的核心業(yè)務(wù)在外還是在內(nèi)，實(shí)際上是應(yīng)用為王、業(yè)務(wù)為王，不可否認(rèn)的是WEB面臨的挑戰(zhàn)依然存在。