WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全_第1頁
WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全_第2頁
WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全_第3頁
WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全_第4頁
WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全_第5頁
已閱讀5頁,還剩27頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

目錄簡(jiǎn)介WEB應(yīng)用安全數(shù)據(jù)庫(kù)安全解決方案1目錄簡(jiǎn)介1公司介紹杭州安恒信息技術(shù)有限公司北京奧組委安全產(chǎn)品和服務(wù)提供商2公司介紹杭州安恒信息技術(shù)有限公司北京奧組委安全產(chǎn)品和服務(wù)提供黑客產(chǎn)業(yè)鏈-網(wǎng)上木馬典型傳播途徑鎖定網(wǎng)站目標(biāo)如電子商務(wù)網(wǎng)站利用Web應(yīng)用的弱點(diǎn)特別是各類SQL注入等Web安全漏洞,入侵和控制Web服務(wù)器篡改網(wǎng)頁植入惡意代碼網(wǎng)站客戶在訪問網(wǎng)站時(shí)候被自動(dòng)植入木馬;在控制個(gè)人用戶計(jì)算機(jī)(肉雞)后,攻擊者更多的是通過用戶身份竊?。ㄈ纾豪瞄g諜軟件和木馬程序等)手段,偷取用戶游戲賬號(hào)、銀行賬號(hào)、密碼或針對(duì)性的竊取商業(yè)信息等。3黑客產(chǎn)業(yè)鏈-網(wǎng)上木馬典型傳播途徑鎖定網(wǎng)站目標(biāo)如電子商務(wù)網(wǎng)08年7月網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組組織某省大檢查總共檢測(cè)省級(jí)網(wǎng)站近70家90%網(wǎng)站存在嚴(yán)重安全隱患部分網(wǎng)站已經(jīng)被掛馬或被黑客控制大檢查基本上使用評(píng)測(cè)工具進(jìn)行遠(yuǎn)程評(píng)估工作408年7月網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組組織某省大檢查總共檢測(cè)省級(jí)網(wǎng)發(fā)現(xiàn)問題的網(wǎng)站漏洞類型分布圖5發(fā)現(xiàn)問題的網(wǎng)站漏洞類型分布圖5電子商務(wù)網(wǎng)站所面臨的風(fēng)險(xiǎn)系統(tǒng)層面–存在弱點(diǎn)的操作系統(tǒng)、存在問題的WEB發(fā)布系統(tǒng)IIS、Apache、Weblogic、tomcat等應(yīng)用層面–SQL注入 跨站腳本(釣魚攻擊)

表單漏洞上傳漏洞網(wǎng)頁木馬(惡意代碼)

……網(wǎng)絡(luò)層面-ARP欺騙攻擊

網(wǎng)絡(luò)嗅探6電子商務(wù)網(wǎng)站所面臨的風(fēng)險(xiǎn)系統(tǒng)層面–存在弱點(diǎn)的操作系統(tǒng)、存在網(wǎng)絡(luò)安全現(xiàn)狀觸目驚心2008年上半年網(wǎng)絡(luò)安全報(bào)告主機(jī)數(shù)達(dá)520多萬僵尸網(wǎng)絡(luò)被篡改網(wǎng)站(28367)比去年同期增加4倍,比去年全年增加了近16.9%網(wǎng)絡(luò)仿冒事件超過去年全年總數(shù)的14.6%網(wǎng)頁惡意代碼事件超過去年全年總數(shù)的12.5%被植入木馬主機(jī)遠(yuǎn)遠(yuǎn)超過去年全年,增幅達(dá)21倍7網(wǎng)絡(luò)安全現(xiàn)狀觸目驚心2008年上半年網(wǎng)絡(luò)安全報(bào)告主機(jī)數(shù)達(dá)52黑客產(chǎn)業(yè)鏈入侵者入侵企業(yè)服務(wù)器竊取機(jī)密信息(圖紙、財(cái)務(wù)報(bào)表等)出售收費(fèi)傳播流氓軟件獲取金錢拒絕服務(wù)攻擊發(fā)送垃圾郵件批量入侵網(wǎng)站盜取銀行帳號(hào)盜取信用卡帳號(hào)盜取證券交易帳號(hào)盜取虛擬財(cái)產(chǎn)組建僵尸網(wǎng)絡(luò)洗錢主動(dòng)攻擊勒索網(wǎng)站受雇攻擊收取傭金8黑客產(chǎn)業(yè)鏈入侵者入侵企業(yè)服務(wù)器竊取機(jī)密信息(圖紙、財(cái)務(wù)報(bào)表等層出不窮的應(yīng)用和數(shù)據(jù)庫(kù)安全事件針對(duì)政府、銀行、電子商務(wù)等公眾網(wǎng)站9層出不窮的應(yīng)用和數(shù)據(jù)庫(kù)安全事件針對(duì)政府、銀行、電子商務(wù)等公眾層出不窮的應(yīng)用和數(shù)據(jù)庫(kù)安全事件針對(duì)運(yùn)營(yíng)商內(nèi)部黑手頻頻探囊安全網(wǎng)絡(luò)---“沒有密碼”的充值卡互聯(lián)星空被掛木馬,寬帶用戶集體中毒電信HTTP劫持服務(wù)器被掛木馬黑客使電信企業(yè)損失被判刑13年......10層出不窮的應(yīng)用和數(shù)據(jù)庫(kù)安全事件針對(duì)運(yùn)營(yíng)商10攻擊悄無聲息數(shù)據(jù)庫(kù)Web服務(wù)器AuthenticationDataDictionaryPrivileges/RolesSensitiveAppDataOSfileAccessBufferoverflowDOS防火墻11攻擊悄無聲息數(shù)據(jù)庫(kù)Web服務(wù)器AuthenticationD安恒安全團(tuán)隊(duì)發(fā)現(xiàn)的部分跨站漏洞12安恒安全團(tuán)隊(duì)發(fā)現(xiàn)的部分跨站漏洞12利用跨站獲取COOKIE13利用跨站獲取COOKIE13利用跨站造成頁面被黑14利用跨站造成頁面被黑14百度也有跨站!15百度也有跨站!151616數(shù)據(jù)庫(kù)篡改->動(dòng)態(tài)網(wǎng)頁被掛馬目前最流行,最嚴(yán)重的方式17數(shù)據(jù)庫(kù)篡改->動(dòng)態(tài)網(wǎng)頁被掛馬目前最流行,最嚴(yán)重的方式17層出不窮的數(shù)據(jù)庫(kù)安全事件2005年,美國(guó)爆發(fā)了堪稱迄今為止最大的金融數(shù)據(jù)泄密事件,有黑客侵入了為萬事達(dá)、Visa、AmericanExpress和Discover服務(wù)的“信用卡第三方付款處理器”的網(wǎng)絡(luò)系統(tǒng),造成4000多萬信用卡用戶的數(shù)據(jù)資料被竊。2006年2月,某運(yùn)維公司的工程師利用之前給西藏移動(dòng)安裝系統(tǒng)的機(jī)會(huì),盜取了370多萬元的移動(dòng)充值卡,并出售套利。2006年6月份,某網(wǎng)絡(luò)公司工程師利用編寫的程序盜取了70多萬元的移動(dòng)充值卡。從2006年8月至2007年4月,四川省某學(xué)院綜合教務(wù)管理網(wǎng)絡(luò)化系統(tǒng)被黑客入侵,電腦管理系統(tǒng)中有130余名學(xué)生多達(dá)302科學(xué)習(xí)成績(jī)被黑客非正常改動(dòng)。數(shù)據(jù)庫(kù)保護(hù)工作的缺失帶來的影響客戶流失國(guó)家機(jī)密的泄密企業(yè)品牌的損害企業(yè)經(jīng)濟(jì)損失正常服務(wù)的中斷法律問題18層出不窮的數(shù)據(jù)庫(kù)安全事件2005年,美國(guó)爆發(fā)了堪稱迄今為止最I(lǐng)nternet專網(wǎng)防火墻局域網(wǎng)交換機(jī)骨干路由器數(shù)據(jù)庫(kù)服務(wù)器應(yīng)用服務(wù)器內(nèi)部辦公系統(tǒng)業(yè)務(wù)系統(tǒng)B共享存儲(chǔ)專線路由器防火墻局域網(wǎng)交換機(jī)應(yīng)用服務(wù)器業(yè)務(wù)系統(tǒng)A數(shù)據(jù)庫(kù)服務(wù)器客戶/合作伙伴數(shù)據(jù)庫(kù)的安全是信息系統(tǒng)安全的核心是企業(yè)數(shù)據(jù)信息的最終載體是企業(yè)業(yè)務(wù)系統(tǒng)的核心不同于網(wǎng)絡(luò)傳輸,數(shù)據(jù)如果在數(shù)據(jù)庫(kù)中被篡改或丟失,是難于恢復(fù)的19Internet專網(wǎng)防火墻局域網(wǎng)交換機(jī)骨干路由器數(shù)據(jù)庫(kù)服務(wù)器數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)點(diǎn)分析數(shù)據(jù)庫(kù)安全環(huán)境操作系統(tǒng)/數(shù)據(jù)庫(kù)客戶端應(yīng)用應(yīng)用服務(wù)器應(yīng)用DBA/開發(fā)人員工作終端其他相關(guān)人員工作終端數(shù)據(jù)庫(kù)泄密環(huán)節(jié)初始安裝數(shù)據(jù)庫(kù)補(bǔ)丁或升級(jí)數(shù)據(jù)庫(kù)的日常維護(hù)正常業(yè)務(wù)系統(tǒng)運(yùn)行應(yīng)用軟件的升級(jí)20數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)點(diǎn)分析數(shù)據(jù)庫(kù)安全環(huán)境操作系統(tǒng)/數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)泄密環(huán)節(jié)數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)的產(chǎn)生內(nèi)部用戶合法權(quán)限濫用權(quán)限盜用越權(quán)濫用權(quán)限分配不當(dāng)臨時(shí)帳號(hào)未及時(shí)清理備份數(shù)據(jù)缺乏保護(hù)離職員工的后門合作伙伴合法權(quán)限濫用權(quán)限盜用越權(quán)濫用后門程序數(shù)據(jù)中心數(shù)據(jù)庫(kù)軟件數(shù)據(jù)庫(kù)平臺(tái)漏洞通訊協(xié)議漏洞弱鑒權(quán)機(jī)制日志缺失或不完整應(yīng)用程序程序漏洞21數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)的產(chǎn)生內(nèi)部用戶合作伙伴數(shù)據(jù)中心數(shù)據(jù)庫(kù)軟件應(yīng)用程序2數(shù)據(jù)庫(kù)類型面面觀OracleSQLServerMysqlDB2MSAccess22數(shù)據(jù)庫(kù)類型面面觀Oracle22數(shù)據(jù)庫(kù)攻擊形式多樣數(shù)據(jù)庫(kù)木馬弱口令攻擊溢出攻擊注入攻擊權(quán)限提升繞過審計(jì)23數(shù)據(jù)庫(kù)攻擊形式多樣數(shù)據(jù)庫(kù)木馬23常見誤區(qū)使用防火墻和入侵檢測(cè)設(shè)備,網(wǎng)站安全了安裝了最新系統(tǒng)和數(shù)據(jù)庫(kù)補(bǔ)丁,網(wǎng)站和數(shù)據(jù)庫(kù)可以不被攻擊使用防篡改軟件,網(wǎng)站一定安全數(shù)據(jù)庫(kù)位于內(nèi)網(wǎng),一定不被攻擊安裝了防病毒軟件,網(wǎng)站就不被掛馬網(wǎng)站被掛馬了,請(qǐng)馬上幫我清掉我就萬事大吉24常見誤區(qū)使用防火墻和入侵檢測(cè)設(shè)備,網(wǎng)站安全了24產(chǎn)品線產(chǎn)品系列核心用途W(wǎng)EB應(yīng)用數(shù)據(jù)庫(kù)明鑒掃描WEB應(yīng)用弱點(diǎn)掃描器MatriXay2.0軟件產(chǎn)品數(shù)據(jù)庫(kù)弱點(diǎn)掃描器DAS-DBScan1.5軟件產(chǎn)品明御防御WEB應(yīng)用深度防御系統(tǒng)DAS-WebDefender2.0W200/W500/W1000/W3000硬件設(shè)備數(shù)據(jù)庫(kù)防御與審計(jì)系統(tǒng)DAS-DBAuditor2.0A1000/A3000/A5000硬件設(shè)備網(wǎng)站衛(wèi)士DAS-WebProtectorP1000/P3000軟件產(chǎn)品25產(chǎn)品線產(chǎn)品系列核心用途W(wǎng)EB應(yīng)用數(shù)據(jù)庫(kù)明鑒掃描WEB應(yīng)用弱明鑒Web應(yīng)用弱點(diǎn)掃描器(MatriXay)產(chǎn)品概述產(chǎn)品用途:發(fā)現(xiàn)WEB應(yīng)用存在的弱點(diǎn),降低WEB應(yīng)用受攻擊風(fēng)險(xiǎn)適用于“政府、電信、金融、證券、公安、教育、稅務(wù)、電力、電子商務(wù)”等各領(lǐng)域的網(wǎng)站和內(nèi)部B/S系統(tǒng)產(chǎn)品歷程:MatriXay1.0于2006年8月世界安全大會(huì)BlackHat和Def-Con上首次發(fā)布MatriXay2.0于2007年12月發(fā)布,集成網(wǎng)頁木馬監(jiān)控功能被評(píng)價(jià)為“最佳的WEB安全評(píng)估工具”

26明鑒Web應(yīng)用弱點(diǎn)掃描器(MatriXay)產(chǎn)品產(chǎn)品用途:被明鑒數(shù)據(jù)庫(kù)弱點(diǎn)掃描器(DAS-DBScan)產(chǎn)品概述由世界頂級(jí)數(shù)據(jù)庫(kù)安全專家親自設(shè)計(jì)與開發(fā),擁有權(quán)威的弱點(diǎn)規(guī)則庫(kù)掃描數(shù)據(jù)庫(kù)的木馬、溢出攻擊、弱口令、權(quán)限濫用、補(bǔ)丁更新、不安全配置等等數(shù)據(jù)庫(kù)安全問題,并提供適當(dāng)?shù)男扪a(bǔ)建議全球唯一發(fā)現(xiàn)數(shù)據(jù)庫(kù)潛藏木馬的評(píng)估工具

27明鑒數(shù)據(jù)庫(kù)弱點(diǎn)掃描器(DAS-DBScan)產(chǎn)品由世界頂級(jí)數(shù)明御WEB應(yīng)用深度防御系統(tǒng)產(chǎn)品定位面向企業(yè)在線WEB應(yīng)用用途自動(dòng)化的WEB應(yīng)用風(fēng)險(xiǎn)評(píng)估全方位的訪問控制:管理層面、網(wǎng)絡(luò)層面、業(yè)務(wù)層面多形式的實(shí)時(shí)防護(hù):告警、SendE-mail、Syslog、短信、阻斷目的:采用主動(dòng)安全技術(shù),阻止所有WEB應(yīng)用層的已知、未知攻擊。產(chǎn)品概述28明御WEB應(yīng)用深度防御系統(tǒng)產(chǎn)品定位產(chǎn)28明御WEB應(yīng)用深度防御系統(tǒng)可挫敗繞過網(wǎng)絡(luò)防火墻和IPS的攻擊,因此可以和網(wǎng)絡(luò)防火墻、IPS設(shè)備等互補(bǔ)對(duì)應(yīng)用形成有效的保護(hù)保護(hù)Web應(yīng)用及相關(guān)的應(yīng)用資源免受利用Web協(xié)議漏洞發(fā)動(dòng)的攻擊客戶行業(yè)典型應(yīng)用解決的問題客戶收益政府門戶網(wǎng)站網(wǎng)頁篡改、網(wǎng)站木馬降低無形資產(chǎn)損失電信金融證券門戶網(wǎng)站網(wǎng)頁篡改、網(wǎng)站木馬提升企業(yè)形象網(wǎng)上營(yíng)業(yè)廳網(wǎng)上銀行網(wǎng)上交易釣魚攻擊、敏感信息竊取、應(yīng)用層DOS/DDOS攻擊等確保業(yè)務(wù)的可持續(xù)性、避免客戶流失、減少交易糾紛其他互聯(lián)網(wǎng)企業(yè)電子商務(wù)網(wǎng)網(wǎng)上商城各類WEB攻擊避免交易量減少、交易糾紛、降低品牌損失、防止敏感信息泄露29明御WEB應(yīng)用深度防御系統(tǒng)可挫敗繞過網(wǎng)絡(luò)防火墻和IPS的攻擊明御數(shù)據(jù)庫(kù)防御與審計(jì)系統(tǒng)產(chǎn)品定位面向企業(yè)核心數(shù)據(jù)庫(kù)全方位保護(hù)和審計(jì)用途深層次的數(shù)據(jù)庫(kù)風(fēng)險(xiǎn)評(píng)估全方位的訪問控制:管理層面、網(wǎng)絡(luò)層面、數(shù)據(jù)庫(kù)對(duì)象層

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論