狠狠撸

Web Application Security -- Past, Present and Future axis 阿里巴巴 B2B - 信息安全部 2008-06-19

唯一不变的就是变化本身

过去网络拓跋结构简单网站建设技术简单往往没有专职的安全维护人员攻击者喜欢涂改页面漏洞形式主要为溢出、暴力破解、文件包含、命令执行、注射利用形式单一化

现在：网络拓跋结构复杂复杂的 ACL 服务器集群、负载均衡各种网络设备（防火墙、 IDS ）

现在：建站技术复杂中间件的大量使用 MVC 模式的大量应用各种语言的交互配合使用 flash 、 ajax 的复杂应用

现在：专业安全工作者专门的安全部门专业安全公司，外包维护大量安全产物的出现

现在：攻击者以利益为目的不再是恶作剧性质互联网的价值越来越高黑客产业链

现在：漏洞形式的变化以客户端漏洞为主脚本漏洞为主导（ XSS,SQL INJECT, CSRF ） DDOS, CC SPAM, BOT 钓鱼和诈骗

OWASP 2004 Top Ten A1 2004 Unvalidated Input A2 2004 Broken Access Control A3 2004 Broken Authentication and Session Management A4 2004 Cross Site Scripting A5 2004 Buffer Overflow A6 2004 Injection Flaws A7 2004 Improper Error Handling A8 2004 Insecure Storage A9 2004 Application Denial of Service A10 2004 Insecure Configuration Management

现在：漏洞利用形式多样化各种漏洞利用平台的出现 (METASPLOIT) exploit 趋向于多功能化 exploit 趋向于 anti-ids ， anti-antivirus 蠕虫化各种形式后门的出现僵尸网络

未来新技术的发展必然导致新的问题传统的漏洞（缓冲区溢出）将慢慢消失操作系统的漏洞逐渐减少浏览器漏洞成为主流（浏览器将成为新一代的基于 WEB 的 OS ） web 软件漏洞成为研究的热门手机操作系统将被广泛研究

未来：新技术带来新的问题 HTML5 Flash 安全问题 Adobe AIR 安全 PDF 安全问题 Firefox3/ IE 8 的安全模型新的框架 Web2.0 甚至是 Web3.0 对安全带来的冲击

必须研究变化才能跟上变化

目前我们有的 XXXXXXX XXXXXXX XXXXXXX XXXXXXX

我们为什么要改进安全是产物的一个特性，产物有安全需求安全是一个持续的过程深度防御思想最小权限原则 Know your enemies Secure by Design Secure by Default

我们该怎样改进 Fix (Bug) Prove (It) Find (Vulnerability)

我们的现状 XXXXXXX XXXXXXX （ Find ） XXXXXXX (Fix) XXXXXXX (Proof) XXXXXXX XXXXXXX (Find) XXXXXXX (Fix) XXXXXXX (Proof)

我们的现状 xxxxxxx xxxxxxx (Find) xxxxxxx (Fix) xxxxxxx (Proof ) xxxxxxx xxxxxxx (Find) xxxxxxx (Fix) xxxxxxx (Proof)

我们的困难安全与性能、功能的平衡需要保护资产是什么？安全需要付出的成本安全措施的效果很难量化是否有切肤之痛？

眼下需要做的事情 xxxxxxx xxxxxxx xxxxxxx xxxxxxx xxxxxxx xxxxxxx

未来可能的发展方向 xxxxxxx xxxxxxx xxxxxxx xxxxxxx xxxxxxx xxxxxxx xxxxxxx

狠狠撸

Web应用安全：过去，现在，未来(Public Ver)

More Related Content

Web应用安全：过去，现在，未来(Public Ver)