-
-
[调查]ISC归来,说说我的看法:WEB安全篇
-
2013-10-17 20:48
-
web是我们接触网络中使用最多的一种服务表现方式,我们的google搜索、百度搜索、360搜索等都是提供的一种web服务,都是以web--网页的方式表现出来服务于我们的应用。
由于这种方式是我们每个人都要接触到的,所以web是最容易收到安全威胁的,这种威胁更接近用户。
来自OWASP的Mordecai Kraushar现场为我们详解了如何进行跨站和sql注入等攻击方式,拿到网站的webshall,控制了我们的网站。并且告诉我们要如何应对这些攻击方式,避免我们的网站遭受到这些攻击。
中国古代有矛和盾,既然web攻击可以有,那么我们的web防护也是必须要跟上的,这是安全人员的一个责任。不然我们的网站都避免不了被骇客“脱裤子”的危险,置我们的网站用户信息于危险之中。则样即损失了我们的网站客户信息,也会影响我们网站的形象。
OWASP是一个致力于网络安全的,他们拥有自己强大的安全团队。在web安全方面,他们推出了自己的TOP 10的这么一个网络攻防实验室,来帮助安全人员解决web安全漏洞,找到解决方法,让我们的网站避免遭受同样的攻击。这个网络实验室收集到各种高难度的网络漏洞,然后让我们的世界顶级黑客看到这个漏洞,并对这个漏洞进行攻击,在攻击结束后,黑客会根据自己的攻击方法写下最实用的解决方案,帮助安全管理员提供防护。
在论坛的最后,会议再次提到了APT攻击。APT就是Advanced Persistent Threat的简称,中文是高级持续性威胁。
APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。
APT攻击会以我们的只能手机、平板电脑等USB设备进行入侵,也会通过我们的电子邮件等社交方式进行渗透,更直接的是通过我们的网络设备的漏洞进行入侵。它们具有持续性、潜伏性、锁定特定目标和安装远程控制建立僵尸网络定期传送有潜在价值文件的副本给命令和控制服务器(C&C Server)审查。将过滤后的敏感机密数据,利用加密的方式外传。
这种攻击方式会严重危害到我们的数据安全,针对APT攻击,360不失时机的在ISC会议上推出了自己的新产品:天眼。这是一款针对APT攻击进行防护的安全软件。在这样一个新领域的安全防护软件,它作为一个领先者,不知道能否为我们带来理想的防护效果,我们翘首以待!
总结下ISC的整体结果,就是各种大牛小菜各种路过。都是在为自己做了广告宣传,没有对互联网的安全做到多大的推动作用,只是宣传了自己的品牌和产品。
大牛勿拍
由于这种方式是我们每个人都要接触到的,所以web是最容易收到安全威胁的,这种威胁更接近用户。
来自OWASP的Mordecai Kraushar现场为我们详解了如何进行跨站和sql注入等攻击方式,拿到网站的webshall,控制了我们的网站。并且告诉我们要如何应对这些攻击方式,避免我们的网站遭受到这些攻击。
中国古代有矛和盾,既然web攻击可以有,那么我们的web防护也是必须要跟上的,这是安全人员的一个责任。不然我们的网站都避免不了被骇客“脱裤子”的危险,置我们的网站用户信息于危险之中。则样即损失了我们的网站客户信息,也会影响我们网站的形象。
OWASP是一个致力于网络安全的,他们拥有自己强大的安全团队。在web安全方面,他们推出了自己的TOP 10的这么一个网络攻防实验室,来帮助安全人员解决web安全漏洞,找到解决方法,让我们的网站避免遭受同样的攻击。这个网络实验室收集到各种高难度的网络漏洞,然后让我们的世界顶级黑客看到这个漏洞,并对这个漏洞进行攻击,在攻击结束后,黑客会根据自己的攻击方法写下最实用的解决方案,帮助安全管理员提供防护。
在论坛的最后,会议再次提到了APT攻击。APT就是Advanced Persistent Threat的简称,中文是高级持续性威胁。
APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。
APT攻击会以我们的只能手机、平板电脑等USB设备进行入侵,也会通过我们的电子邮件等社交方式进行渗透,更直接的是通过我们的网络设备的漏洞进行入侵。它们具有持续性、潜伏性、锁定特定目标和安装远程控制建立僵尸网络定期传送有潜在价值文件的副本给命令和控制服务器(C&C Server)审查。将过滤后的敏感机密数据,利用加密的方式外传。
这种攻击方式会严重危害到我们的数据安全,针对APT攻击,360不失时机的在ISC会议上推出了自己的新产品:天眼。这是一款针对APT攻击进行防护的安全软件。在这样一个新领域的安全防护软件,它作为一个领先者,不知道能否为我们带来理想的防护效果,我们翘首以待!
总结下ISC的整体结果,就是各种大牛小菜各种路过。都是在为自己做了广告宣传,没有对互联网的安全做到多大的推动作用,只是宣传了自己的品牌和产品。
大牛勿拍
[培训]内核驱动高级班,冲击BAT一流互联网大厂工 作,每周日13:00-18:00直播授课
|
|
|---|---|
