乐趣区

WebApp-安全风险与防护系列一

jiezi

WebApp 安全风险与防护(系列一)

讲师资料:Carl(陈庆),葡萄城高级架构师、葡萄城技术公开课讲师。拥有 15 年项目开发经验,专注于产品架构、编程技术等领域,对网络安全有着独到见解,曾担任微软 TechEd 讲师,乐于研究各种前沿技术并分享。

2018 网络安全事故频发,从数据泄露、信息窃取,到 DDOS 攻击、勒索病毒,不仅威胁的总数在增加,威胁态势也变得更加多样化,攻击者在不断开发新的攻击途径的同时,也尽力在攻击过程中掩盖其踪迹,使网络安全防护变得越发棘手。
未来是万物互联的时代,唯有把握住网络信息安全,才能避免被降维打击。本场 Chat,我们特邀 Carl 作为分享嘉宾,于葡萄城技术公开课上,以 WebApp 安全防护为出发点,带你了解更多意想不到的安全防护措施与黑客攻击手段,助你提高网络安全意识,最终学会如何规避风险隐患,避免遭受网络安全攻击。欢迎大家扫描下图二维码,预约报名参加。

直播地址:http://live.vhall.com/137416596
下面开始展开正文。

第一节:开阔眼界 – 提升安全意识

提升网络安全意识对项目团队中的每一个角色、每一个流程都至关重要。同时,也只有具备了网络安全意识,才愿意为数据安全投入更多的时间和精力。下面,我将为您展示部分 2018 年发生的网络安全事故,这些事故造成的损失,也许远远超出你的想象。

2018 网络安全事故回顾

Facebook 数据泄露事件:2018 年 9 月,Facebook 因安全系统漏洞而遭受黑客攻击,导致约 5000 万用户信息泄露。

上市公司数据堂,涉嫌侵犯数百亿条公民个人信息:大数据行业知名企业数据堂在短短 8 个月的时间内,日均泄露公民个人信息 1.3 亿余条,累计传输数据压缩后约为 4000GB。

圆通 10 亿快递信息泄露: 10 亿条用户数据遭公开售卖,这些数据包括寄(收)件人姓名、电话、地址等隐私信息。

万豪酒店 5 亿用户开房信息泄露:万豪酒店客房预订数据库遭黑客入侵,约 5 亿名客户的信息可能被泄露。

更多数据泄露事件

  1. 国泰航空数据泄露,940 万乘客受影响
  2. MongoDB 数据库被入侵,1100 万份邮件记录遭泄露
  3. SHEIN 数据泄露影响 642 万用户
  4. GovPayNet 凭证系统存在漏洞,1400 万交易记录被曝光
  5. 小米有品平台泄露个人隐私 约 2000 万用户数据遭泄露

勒索病毒事件

  1. 美国亚特兰大市政府受到勒索软件攻击
  2. 美国巴尔的摩市遭遇勒索软件攻击,导致 911 紧急调度服务的计算机辅助调度 (CAD) 功能掉线
  3. 台积电勒索病毒事件,约造成 17.6 亿元的营收损失,股票市值下跌 78 亿
  4. 很多个人电脑和中小网站都曾遭受攻击

DDoS 攻击

  1. 平昌冬奥会开幕式服务器遭到身份不明的黑客入侵
  2. GitHub 遭 1.35T 级流量攻击

年度重大漏洞盘点

  1. CPU 数据缓存机制漏洞
  2. iOS 平台 WebView 组件漏洞(UIWebView/ WKWebView)跨域访问漏洞(CNNVD-201801-515)
  3. Oracle WebLogic Server WLS 核心组件远程代码执行漏洞
  4. 微信支付 SDKXXE 漏洞
  5. Apache Struts2 S2-057 安全漏洞

第二节:知己知彼 – 黑客如何攻击系统

一名黑客攻击网站的典型步骤,主要分为以下 5 步:

  1. 信息收集和漏洞扫描
  2. 漏洞利用
  3. 上传木马
  4. 获取服务器的控制权
  5. 清理痕迹

总结:

黑客不是手动测试系统漏洞的,而是有很多强大的工具可以自动化完成

黑客不是利用系统中的一个漏洞,而是要利用一系列,不同层次的漏洞

黑客经常批量攻击一系列网站,选取其中漏洞较多,较好利用的重点突破

第三节:十大安全风险(OWASP Top 10)

不安全的软件正在破坏着我们的金融、医疗、国防、能源和其他重要的基础设施。随着我们的软件变得愈加庞大、复杂且相互关联,实现应用程序安全的难度也呈指数级增长。而现代软件开发过程的飞速发展,使得快速、准确地识别软件安全风险变得愈发的重要,OWASP 组织也因此诞生。

OWASP,即开放式 Web 应用程序安全项目(Open Web Application Security Project),作为一个开源的、非盈利的全球性安全组织,它提供了有关计算机和互联网应用程序的公正、实际、有成本效益的信息,其目的是协助个人、企业和机构来发现并使用可信赖的软件。

OWASP Top 10 是由 OWASP 组织公布,最具权威性的“10 项最严重的 Web 应用程序安全风险预警”,其就安全问题从威胁性和脆弱性两方面进行可能性分析,并结合技术和商业影响的分析结果,输出公认的、最严重的十类 Web 应用安全风险排名。OWASP Top 10 旨在针对上述风险,提出解决方案,帮助 IT 公司和开发团队规范应用程序开发流程和测试流程,提高 Web 产品的安全性。

OWASP 敦促所有公司在其组织内采用 OWASP Top 10 文档,并确保其 Web 应用程序最大限度地降低这些风险,采用 OWASP Top 10 可能是将企业内的软件开发文化转变为生成安全代码文化最行之有效的一步。

OWASP Top 10 包括:

  1. 注入
  2. 失效的身份认证
  3. 敏感信息泄露
  4. XML 外部实体(XXE)
  5. 失效的访问控制
  6. 安全配置错误
  7. 跨站脚本(XSS)
  8. 不安全的反序列化
  9. 使用含有已知漏洞的组件
  10. 不足的日志记录和监控


以上便是从本次 Chat——“WebApp 安全风险与防护(系列一)”中截取的部分内容,下一期将详细介绍 OWASP Top 10 及其应对策略。
更多关于 WebApp 安全风险防护手段及葡萄城安全架构中的实践分享,将在葡萄城系列公开课“WebApp 安全风险与防护”中,由 Carl 亲自讲解,诚邀您学习观看。
公开课地址:http://live.vhall.com/137416596
公开课时间:2019/6/26(周三)16:00 PM

错过本场直播?没关系,所有直播内容我们会存放在葡萄城公开课页面,便于您随时观看、学习。
“赋能开发者”葡萄城除了为所有开发人员提供免费的开发技巧分享、项目实战经验外,还提供了众多高水准、高品质的开发工具和开发者解决方案,可有效帮助开发人员提高效率,缩短项目周期,使开发人员能更专注于业务逻辑,顺利完成高质量的项目交付,欢迎您深入了解。

退出移动版