OWASP 2010范渊:中国WEB安全5年发展历程及趋势与挑战

【51CTO.com 独家报道】2010年10月22日消息,盛大的OWASP大会终于在京召开。当然也少不了各位安全领域的各位高手的演讲。其中就有安恒信息的范渊为我们演讲。51CTO作为特邀媒体,将会全程跟踪报道,有关OWASP会议详细情况请浏览51CTO OWASP 2010中国峰会专题报道。下面是范渊的演讲实录:范渊:各位嘉宾、各位朋友,大家上午好!范渊:其实讲安全应该从05年开始,05年我在美国有一个演讲,就是在关于WEB安全的日常检测。从06年开始攻击事件急速的增加,在中国被篡改网站的数量也急剧增加。而且这
里面一个很重要的特点是从七八年前会出现有人会炫耀,其实那个时候黑客产业链这一块开始浮出水面。06年大家开始关注取证式的WEB应用弱点扫描,等一下我会讲到这个历程,比如安全开发、安全开发、安全部署等一系列安全体系构成了我们WEB应用安全的整体。07年是WEB2.0这样的名字开始大量出现,实际当时使用WEB2.0的还不是很多,包括国外的社区和国内都出现类似利用跨站,WEB安全漏洞给人家很多在视觉和信用上的传播。498)this.width=498;' onmousewheel = 'javascript:return big(this)' border="0" alt="" width="600" height="450" src="http://images.51cto.com/files/uploadimg/20101022/1622360.jpg" />范渊讲道:黑客产业链这个话题,实际在过去和之前大家都收到过很多邮件,通过欺骗希望你点击以后中招,
但是后来
慢慢发展到邮件和在线的交谈依然是一个媒体,但是这个媒体主要是送给你一个(英文),利用这个使你挂马,达到它间接的攻击,而且这个攻击的隐蔽性非常强,它的效果非常好。因为黑客产业链必然以经济为基础,
所以它需要追求用最低的成本达到最大的效益和最好的效果。每天有几十万访问量的网站和在线业务,比如网上营业厅、网上银行,所有这些必然会成为它最直接可以利用的途径。当然这里面很
复杂,而且他们有控制人、有买卖,有地下交易,还有洗钱,这些都可能在不同的国家发生。范渊说:08年里程碑的事件是奥运会是非常成功的盛会,但是其实它背后有很多故事,我是奥组委安全专家组的成员,在奥运大厦有好多次讨论相关的攻击防范,实际在奥运会开幕前的说十个月我们已经开始对奥组委相关的网站进行相应的加固,实际奥组委网站改版很多次,但是大家可能没有意识到。这当中也发生很多有意思的事情,奥运会这次给大家的最大的好处就是在于安全意识的提高,这个跟我们OWASP讲的精神也一样。范渊还说:08年还有一件很重要的事情,就是群注风暴,全球大概有10万个网站被挂马,它是批量注入,利用应用程序的弱点,通过篡改参数来达到或控制修改后台数据库,禁止达到控制所有相关攻击的目的。
那么通过什么来发现它呢?最简单的手段就是google,因为它能够非常高效的告诉你有多少网站。它所达到的效果是对于后台所有字符型的字段里面
插入一段恶意代码,这段小的脚本就在这里,这段脚本达到的目的是用户插入数据库,后台的数据库因为是动态页面,会有动态的信息展示,展示的过程中任何任何用户访问这个网站,它其实就会执行这个JS,进而去种植到本地实际上美国有很多资深 的安全公司的资深网站也在这次群注中落马。当时安全小组发现一台肉鸡在做这个事情,这段自动化工具写的比较精悍,但是非常实用,而且大家注意到它用到了一点点的绕过。这个是它的配置文件,非常简明而实用,高效而实用。因为它是希望能够更加高效,现成配置这些东西。范渊说道:经过这一年多,我觉得安全的意识大家有很大的提高,到09年时我们在中国有一次标杆性的事件,就是国庆六十周年的安保。国庆六十周年的安保请公安部和通信安全中心对全国的网站进行抽样,在随机抽样的检测中大概有一半的网站存在严重的问题,就是可以随意的注入画面等东西。这是一些统计数据,注入画面表单绕过是非常严重的,事实上这些数据反过来验证了数据的宝贵性和统计的准确性,像注入、跨站这类的问题每年都排在非常
前面。在这个过程中发现有一些网站甚至是已经被挂马或者已经被控制。范渊还讲道:到了10年,在WEB安全方面有两块大的事情,一类是远程执行任意代码事件,比如像我们有些网站用BBS等第三方模块,反过来说明应用安全、整体安全一定要提升的。远程攻击者可以在这个系统上执行任何的命名,这样它的远程攻击的威胁性、严重性都是非常明显的。还有一个漏洞 是。NET的攻击信泄露漏洞,说到这个想到了实施防范里面的那些原理,其实在攻击过程当中我们很
多时候是利用返回不同的信息达到我们的效果。范渊最后说道:今年黑帽子
大会上有位专家讲到云计算是安全的一场恶梦,事实上本身我们自己网络内的安全都还管不好的情况下,应用安全都管不好的情况下,你硬去相信一朵云,这朵云你从来都没有见过,这块的挑战确实是巨大的。还有是手机互联网,智能终端又变成受害者之一。核心互联网网上的挑战也会非常严峻 ,为什么这样说呢?现在随着经济利益的驱动,其实最好的效果是在于有大量的有价值信息的,比如说网上银行,比如说网上证券交易,比如说网上营业厅,比如说电子政务相关的一些东西,比如说网游,这些都会成为实际的目标。在这里面的矛与盾始终在对抗,在这当中应用安全和数据安全的价值会更大的促进体系,因为不管是移动互联网还是云计算,不管我们的核心业务在外还是在内,实际上是应用为王、业务为王,不可否认的是网络站面临的挑战依然存在。范渊:因为时间关系,主要讲到这里,谢谢大家!

时间: 2024-09-22 04:08:27

OWASP 2010范渊:中国WEB安全5年发展历程及趋势与挑战的相关文章

中国错网站长回忆中国错网一岁的发展历程

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断淘宝客 站长团购 云主机 技术大厅 接触互联网有一些时间了,真正做个人站长是从去年7月115.html">26日正式开始的,支持一周年纪念日,特写此文来回顾一下过去的一年站长日子里说经历的风风雨雨. 记得是去年的7月份,我开始决定做网站--注册了现在的这个域名:www.jouyi.cn--也许大家都不知道是什么意思,刚开始我是想做一个"救业网&

OWASP 2010中国峰会现场图文集锦

[51CTO.com 独家报道]2010年10月22日消息,作为全球顶级的应用安全组织, OWASP(Open Web Application Security Project)今日在北京举办OWASP 2010中国峰会,本次大会特意邀请政府.金融.互联网.教育.电信.能源等热门行业的CIO代表,国内外知名的应用安全专家.厂商代表共聚一堂,就应用安全及业务安全发展及技术创新等话题进行广泛而深入的讨论,同时也为广大从事应用安全研究的技术人员提供一个多元化的交流平台.我们聚合产官学力量,推动中国应用

OWASP 2010中国峰会——OWASP中国主席Tom Brennan精彩致辞

[51CTO.com 独家报道]2010年10月22日消息,OWASP作为一个开源的非盈利组织,一直致力于帮助企业和组织设计开发和维护安全系统. 那么在这次 大会上,我们聆听了到了多方专家的演讲.51CTO作为特邀媒体,将会全程跟踪报道,有关OWASP会议详细情况请浏览51CTO OWASP 2010中国峰会专题报道.上午的会议中,OWASP中国主席Tom Brennan先生为本届峰会带来了精彩的 致辞,实况如下:Tom Brennan说:大家好!非常 感谢大家把OWASP引进中国,作为OWAS

安恒总裁范渊:不忘初心,扎根浙江,辐射全国,放眼世界

近几年,我国互联网蓬勃发展,网络规模不断扩大,网络应用水平不断提高,成为推动经济发展和社会进步的巨大力量.与此同时,网络和业务的发展过程中也出现了许多新情况.新问题.新挑战.面对云计算.大数据,越来越多的计算机.手机.移动设备接入网络,数据和用户信息泄露等安全问题日益突出.随着信息化的不断发展,传统及新兴技术的不断变化,安恒也一直在变化. 多年来,杭州安恒信息一直践行对数据和应用的保护.近日,记者有幸采访到了安恒信息总裁范渊先生与安恒信息CSO刘志乐先生. 不忘初心,扎根浙江,辐射全国,放眼世界

范渊:守护网络安全的“黑客”

据中国之声<新闻纵横>报道,当年为了梦想闯荡彼岸,如今为了梦想回归故土.有数据显示,截至2016年底我国留学回国人员总数达265.11万人.这些学成归国的优秀海外人才,正在成为国家经济.科技和社会发展的特殊力量. 走进杭州安恒信息技术有限公司的核心部门--风暴中心,一张全国地图,东西南北,闪烁着亮点.这些点就是安恒公司客户的网络系统位置.地图旁的表格,实时跳动着发现漏洞和漏洞等级评估数据.国家"千人计划"的专家.杭州安恒信息技术有限公司董事长兼总裁范渊说,风暴中心为政府.企

央视“发现双创之星”走进浙江:白客范渊的梦想之路

题记 11月13日,"发现双创之星"大型系列活动第七站走进西子湖畔浙江省杭州市.在央视在发展改革委.教育部.科技部.工业和信息化部.财政部.人力资源社会保障部.商务部.税务总局.工商总局.新闻出版广电总局.银监会.证监会.国家网信办.团中央14个部委指导下,中国政府网.中国网络电视台联合发起<发现双创之星>大型主题系列活动,通过"讲述双创好故事展现中国好创意"为中国创客搭建思想交流的平台.创意诞生的襁褓.匠人技能的舞台.梦想实现的工场. 创客满怀梦想,背

中国 Web 设计业从模仿到创新的历程

本文采访了6位中国知名设计师,讲述了中国 Web 设计业从模仿到创新的历程.他们各自谈了几点关于国内web设计的现状与原因. 郭宇: 中国的网民30岁以下的大约占70%,他们年轻,开放,容易接受新生事物.他们喜欢在线玩游戏,娱乐,因此,你会在很多国内网站上看到吸引视线的东西,来迎合这一类型的用户. 白鸦: 几年前国内网站大量模仿韩国 Flash的网站,花里胡哨的设计曾一度成为风潮.但随着 Web 2.0 的到来,国内网站开始改善.用户更注重内容而不是单纯的视觉效果,视觉效果已经不能取悦国内的用户

中国WEB设计行业:从模仿到创新

今天,Smashingmagazine最后定稿发布了<Showcase Of  Web Design In China: From Imitation To Innovation>的文章,这是一篇面向国内WEB设计圈生态和中国WEB设计行业的调查分析,我有幸参与了其中,各位可以移步到官方网站浏览,我就不贴原文了. 在此要感谢 Smashingmagazine 的编辑Kejun,从采访提纲编写.问题设置沟通到发文校对,以及1个半小时的电话采访,充分体现了优秀的职业素养和敬业态度,也要感谢稿件质管

2010福布斯中国大陆最佳县级城市9月常熟揭榜

上海2010年8月9日电--21世纪第二个十年经济增长动力将是什么?以县级城市为中心的县域经济,正日趋成为拉动中国经济发展的第三列"高铁".哪些县市在2010年位居龙头?2010年9月17日,"2010福布斯-中国大陆最佳县级城市"即将揭榜,第二届"智慧增长-中国县级城市投资与发展论坛"也将同时召开.商.学.政界代表将齐聚江苏常熟,破解县级城市发展瓶颈的大智慧,探究县域经济高铁列车如何"又好又快". 作为国民经济最基本单元,县