移动安全 安全管理 应用案例 网络威胁 系统安全 应用安全数据安全 云安全
当前位置: 主页 > 信息安全 > 数据安全 >

web应用安全发展的挑战和趋势

时间:2013-03-11 14:57来源: 点击:
11月3日,以“深度解读应用及业务安全”为主题的OWASP 2012中国峰会在深圳博林诺富特酒店召开。 web应用安全发展的挑战和趋势
TagsWeb(532)应用(124)石祖文(2)网站代码(4)  

  11月3日,以“深度解读应用及业务安全”为主题的OWASP 2012中国峰会在深圳博林诺富特酒店召开。本届大会从多方面、多角度诠释基于、电话网和的应用、融合及业务方面的安全,并围绕应用及业务安全发展方向和威胁增长趋势等方面,进行深层次的探讨。

  以下是360网站卫士安全解决经理石祖文《web应用安全发展的挑战和趋势》的演讲:

  下面我们介绍一下WEB应用安全发展的挑战和趋势。新的时代WEB应用的安全面临着新的挑战。其中包括以下五个方面。第一个如何拦截 JS WORM攻击。 在WEB2.0这个时代JS比较多,相关的内容发展得比较迅猛。第二个就是拦截未知的WEB框架漏洞,比如说前面提到的JAVA的框架。第三个如何抵御HTTP FLOOD攻击这个通常称为CC攻击。第四个如何抵御DNS攻击。这个攻击近年出现的这种情况越来越多。第五个如何拦截WEB shell以及WEB shell行为,WEB shell用来控制这个网站。

  这是当前WEB产品的分类,有网络层过滤型、内嵌型、云防护型、代码防御型,这个是选了一些比较有代表的相关的产品。网络过滤型性能高,手限于网络区域、抗DDOS能力高。内嵌型性能中、需要本机安装,抗DDOS能力中。 云防护型性能比较高,前面一万多的DDOS都能进行拦截,第二个不限制网络区域用户DNS值就可以用,由于采用分布式,性能极高。最后是代码防御型的,这一类的就是性能相对偏低一点,然后需要插入用户的网站代码当中,这就是抗DDOS能力比较差。总体web发展趋势向着云防护方向发展。网站云防护具有以下几个优点,第一个是利用分布式架构可以有效解决大型DDOS攻击,第二个隐藏后端真实网站IP,杜绝对网站服务其漏洞的直接利用;第三个由专业安全团队及时更新安全规则,第一时间拦截已知和0day漏洞;第四个更准确的用户浏览统计,帮助站长了解网络发展的状况。

  我这里介绍相关技术方面的东西比较少,大家有什么问题可以问。

  提问:云防护对同一个威胁在这台电脑上,安全卫士会提供报警,在另外一台电脑上360不会提供报警这是怎么回事?

  谭晓生:前面有人问解释解析的问题,同时360做了一套抗攻击的DNS,现在在线上我们的抵抗能力每秒在400万猫左右,可能预计在一年提到1000万猫的解析量以上,第一种你的域名可以在NSO上解析,建议不管放在我们抗攻击上或者是DNS的解析上,第二个用一个更快速的方式,我们的域名直接会在抗攻击的上提供抗攻击服务。这里面的360有两个外包安全的产品,一个是360的扫描,目前也是全免费的服务,如果网站的站长上面登录了之后,我们验证的报告,第二个360网站卫士,这里面提供一个抗DOS攻击,它的原理是代理服务,如果用户是静态网站,我们可以提供加速的功能,目前全国十个点,十个点抗攻击能力10个G,如果把业务全部打死没有一两个G的带宽是很难做的到的,其实对炕几抗击攻击我们提出技术,有这样的设备或者网络的程序做这样一件事,最后还是要有足够的服务器很带宽,我在每个地方有10个G。再加上我DNS有这种调度能力,自动把服务放到其他点上去,为什么巴黎时装网打得比较厉害,最后还生存了,是这样一个东西。目前这个是全部免费的。我们日常在防护的有2000多个网站,这里面做了技术手段有了新的技术手段是主动的发现。抗DDOS攻击高。

------分隔线----------------------------

推荐内容