Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

互联网公司web安全挑战与防护思路浅谈

嘉宾简介:方小顿
百度系统部高级安全顾问,2008年加入百度分布式系统团队,80sec团队成员,主要负责百度整体安全体系建设和规划,在安全攻防方面有较为丰富的经验

主要内容:互联网公司大量web业务的发展带来了新的挑战与防护,传统的针对单一服务单一应用的安全防护已经无法满足安全需求,这里我们将以黑客的角度来 描述如何应对这一挑战的一些思路,以及百度在这一思路下所做的一些应用实践。

Related Books

Free with a 30 day trial from Scribd

See all
  • Be the first to comment

互联网公司web安全挑战与防护思路浅谈

  1. 1. 目录  Web应用的发展历程  互联网公司web安全的挑战  站在攻击者的角度  站在防护者的角度  Q&A
  2. 2. Web应用的发展历程  过去  现在  将来  找清楚你的位置,你在哪?
  3. 3. 我们遇到的web安全挑战  为什么是web安全  成百上千的web应用  成千上万的服务器  开发者与维护者安全意识参差不齐  承受可能来自整个internet的攻击尝试  ……
  4. 4. 站在攻击者的角度 Know it 目标公司的网络分布 目标网络里的应用分布 – 搜索引擎 – Nmap+Amap(ssh, – Dns遍历 web,rsync,proxy……) – Dns域名反查
  5. 5. 站在攻击者的角度 深入了解一个目标网络
  6. 6. 站在攻击者的角度 深入了解一个目标网络
  7. 7. 站在攻击者的角度 Hack it 尝试网络应用里的各种漏洞 攻击web应用 – Ssh/ftp/mysql/oracle等等弱 – 敏感应用扫描(重点关注那些 口令 webserver层上出现的配置问题;app – Rsync/nfs/squid等等配置 层上出现的配置问题如 phpmyadmin/tomcat弱口令问题, 敏感后台对internet开放问题;第三 方的老旧程序导致的问题) – 漏洞探测(重点关注应用最广泛 的sql注射问题,文件上传,文件遍 历问题)
  8. 8. 站在攻击者的角度 探测一个web应用
  9. 9. 站在攻击者的角度  以最小化的成本获取最大的价值(找最薄弱的点攻击)  攻击一个点就是胜利(名誉上,获益上)  由点入面攻击网络(内部比外部开放更多的服务;内部 的服务器维护往往是同一批人所以会维护同一个风格;)
  10. 10. 站在防护者的角度 互联网公司的web安全防护 问自己几个问题  不要害怕  自己公司对外提供了多少应用(多少是公开的, 多少是隐含的,这些是不是都是必须的)  应该对应用有多了解才算了解  这些应用是否存在安全问题
  11. 11. 站在防护者的角度 互联网公司的web安全防护 Know it  对线上服务做好运维管理  良好的上下线流程  完善的应用日志管理
  12. 12. 站在防护者的角度 互联网公司的web安全防护 Know it muchmore!  端口扫描以发现隐藏开放的服务(我们有所有 网络资源的清单)  应用级扫描以发现开放服务的安全漏洞(特别 是web服务的检查)  应用程序分析(分析应用程序可以对web应用到 达灰盒级别的了解)
  13. 13. 站在防护者的角度 互联网公司的web安全防护 建立我们的网络应用数据库 – 监视所有进入的网络请求 – 分离出所有的web请求 – 根据web请求建立应用程序数据库 – 我们得到了什么?
  14. 14. 站在防护者的角度 互联网公司的web安全防护 我们能得到什么 – 通过分析数据库可以得到应用的结构甚至是具体 的应用程序参数 – 通过分析数据库可以及时得到攻击的信息和必要 时候后门的查找(行为分析) – 通过分析常见的安全漏洞,开发适合自己的漏洞 扫描器
  15. 15. 站在防护者的角度 互联网公司的web安全防护 应用程序监控 – 绝大多数有目的的入侵和后门都会对应到文件 – 绝大多数有目的和入侵和后门都会通过网络进行 – 文件监控(内容,行为) – 网络监控(网络访问)
  16. 16. 站在防护者的角度 互联网公司的web安全防护 应用程序监控 – 一个入侵的例子 • 对网络发生的入侵行为如何做到快速响应 – 一个暴露0day的例子 • 假设外界披露某个第三方组件存在安全漏洞, 如何快速响应
  17. 17. 站在防护者的角度 互联网公司的web安全防护 做的更多 – 将解决问题的时间提前 » 默认系统是否该开放服务(路由层面,主机层面) » 开放的服务是否已经对最少的人开放(后台管理入 口,一些管理系统,一些敏感的数据库) – 输出安全规范并对应到管理中去 » 生成规范并且检查线上系统是否按照规范来进行 – 必要的时候介入到安全开发 » 对于自主开发系统较多的公司,可以将安全提前到开 发阶段
  18. 18. 站在防护者的角度 外网web安全 安全管理 安全策略 安全监控
  19. 19. 站在防护者的角度 互联网公司的web安全防护 看得远些,再远一些 – 深入应用程序级别的安全 – 安全是整体,合理的网络划分,系统运维监控可 以很大程度减少来自web安全的压力 – 根据自己公司的特点逐步转移安全的重点 – 与黑客做朋友
  20. 20. Q&A

×