返回
智恒联盟web应用安全

智恒联盟web应用安全

ID:1626367

大小:5.30 MB

页数:11页

时间:2017-11-12

智恒联盟web应用安全_第1页
智恒联盟web应用安全_第2页
智恒联盟web应用安全_第3页
智恒联盟web应用安全_第4页
智恒联盟web应用安全_第5页
资源描述:

《智恒联盟web应用安全》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、智恒联盟WEB应用安全网关技术白皮书版权声明©2006-2011,北京智恒联盟科技有限公司本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属北京智恒联盟科技有限公司所有,受到有关产权及版权法保护。任何个人、机构未经书面授权许可,不得以任何方式复制或引用本文件的任何片断。公司信息名称:北京智恒联盟科技有限公司网址:www.zhihengit.com地址:北京市海淀区交大东路31号院D座6层邮编:100044电话:010-62218321传真:010-62218321-8012目录1前言12威胁和挑战22.1

2、威胁分类22.2攻击的特点22.2.1SQL注入攻击22.2.2跨站脚本攻击32.2.3拒绝服务攻击32.2.4网页篡改42.3攻击的防范方法53WEB应用安全网关介绍53.1产品特色63.1.1一流的产品设计理念63.1.2领先的核心关键技术73.1.3提供量化的决策支撑数据74结论81前言当今世界各国都高度重视信息安全,各国尤其是发达国家都纷纷投入巨资建设本国的信息安全保障体系。我国政府也非常重视信息安全,国家信息化领导小组2003年发布了《关于加强信息安全保障工作的意见》(中办发[2003]27号),明确提出了我国今后信息安全建设和发展的

3、根本性指导思想:“坚持积极防御、综合防范的方针,全面提高信息安全防护能力,以安全促发展,在发展中求安全”。作为IT建设的重中之重和关键信息的重要承载组织,网站服务系统建设工作推进至今,规模逐渐庞大、平台日趋定型,但是仍存在较大隐患,网络攻击、黑客入侵、内容篡改、病毒泛滥、系统故障、自然灾害等都对网站的安全构成极大威胁。WEB防护系统对网站的总体战略目标作深入理解,针对网站平台的可用性和内容可信任问题,提供全面的、全方位的解决方案。从网站如何提高行政效率,如何量化服务品质指标的角度出发,实现WEB防护系统在网站的纵深发展。1威胁和挑战1.1威胁分

4、类图212009年CNCERT处理网络安全事件类型分类统计1.2攻击的特点1.2.1SQL注入攻击几乎所有SQL数据库都是潜在易受攻击的。SQL注入攻击技术的本质,是利用应用程序开发者编程中,对用户提交CGI参数数据未做充分检查过滤的漏洞。如果应用程序对用户提交的数据不做充分的检查,则该应用程序就有可能被攻击者利用,插入恶意的SQL代码,非授权操作后台的数据库,从而导致被攻击系统的异常。例如敏感信息泄露、数据库内容和结构破坏、网页挂马、服务器操作系统被非授权控制等等。SQL注入攻击的风险位居前列,它隐蔽性强,能够轻易的绕过防火墙,传统的基于特

5、征的IDS对此类攻击也几乎没有作用;攻击时间短,可在短短几秒到几分钟内完成一次数据窃取、一次木马种植、完成对整个数据库或WEB服务器的控制,以至非常难于作出人为反应;危害性大,攻击的结果可能导致信息泄露、服务器瘫痪、数据篡改、挂马、系统权限泄露等等问题,造成被攻击方的经济和声誉上的巨大损失。1.1.1跨站脚本攻击跨站脚本这类攻击技术的本质,是利用动态网页的WEB应用程序开发者编程中,对用户提交请求参数未做充分的检查过滤的漏洞。如果应用程序允许用户在提交的数据中掺入HTML代码(最主要的是“>”、“<”),然后未加编码地输出到第三方用户的浏览器,

6、则攻击者可以构造恶意提交代码,借助存在漏洞的WEB网站转发攻击其他浏览相关网页的用户(受害用户),窃取用户浏览会话中诸如用户名和口令(可能包含在Cookie里)的敏感信息、通过插入挂马代码对用户执行挂马攻击。跨站脚本攻击的特点在于对存在漏洞的网站本身并不构成威胁,但会使网站成为攻击者攻击第三方的媒介(即使该网站的客户受害)。跨站脚本攻击的风险比较高,它隐蔽性强,能够轻易的绕过防火墙,传统的基于特征的IDS对此类攻击也几乎没有作用;攻击时间短,可在短短几秒到几分钟内完成;危害性大,攻击的结果是使网站成为攻击者攻击第三方的媒介,使网站的客户受害,也

7、有可能使网站被搜索引擎加入“该网站可能含有恶意软件,有可能会危害您的电脑”这类负面信息,造成被攻击方的经济和声誉上的巨大损失。1.1.2拒绝服务攻击拒绝服务(DoS:DeialofService)攻击的本质,是利用网络协议存在的固有漏洞,伪造貌似合法的请求,大量的占用网络带宽或消耗服务资源,使网络或者服务无法响应用户的正常请求,造成网络服务瘫痪。分布式拒绝服务(DDoS:DistributedDenialofService)则是拒绝服务攻击的进一步发展,攻击者借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻

8、击,从而成倍地提高拒绝服务攻击的威力。其攻击原理如下图所示:图22拒绝服务攻击原理示意图DDoS攻击的风险很高,它实施简单,技术门槛非常低,使得各类

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。