屌絲的春天--6步實現Web應用的整體安全

隨著B/S模式應用開發的發展，使用這種模式編寫應用程序的程序員也越來越多。但是由于程序員的水平及經驗參差不齊，相當大一部分程序員在編寫代碼的時候，沒有對用戶輸入數據的合法性進行判斷，使應用程序存在安全隱患。所謂SQL注入，就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執行惡意的SQL命令，比如先前的很多影視網站VIP會員密碼泄露大多就是通過Web表單遞交查詢字符實現的，這類表單特別容易受到SQL注入式攻擊。

SQL注入攻擊的原理本身非常簡單，相關攻擊工具容易下載，攻擊者獲得權限后有利可圖。這使得它成為最有效的、攻擊者最常采用的Web入侵手段，是眾多網站成為惡意代碼傳播平臺的起因之一。

針對這一攻擊手段，安全專家認為，最根本的措施是對Web應用的用戶輸入進行過濾。并針對Web應用的基本特性，對Web應用的整體安全工作采取以下具體措施：
     1、Web應用安全評估：結合應用的開發周期，通過安全掃描、人工檢查、滲透測試、代碼審計、架構分析等方法，全面發現Web應用本身的脆弱性及系統架構導致的安全問題。應用程序的安全問題可能是軟件生命周期的各個階段產生的，其各個階段可能會影響系統安全的要點主要有：
     2、Web應用安全加固：對應用代碼及其中間件、數據庫、操作系統進行加固，并改善其應用部署的合理性。從補丁、管理接口、賬號權限、文件權限、通信加密、日志審核等方面對應用支持環境和應用模塊間部署方式劃分的安全性進行增強。
     3、對外部威脅的過濾：通過部署Web防火墻、IPS等設備，監控并過濾惡意的外部訪問，并對惡意訪問進行統計記錄，作為安全工作決策及處置的依據。
     4、 Web安全狀態檢測：持續地檢測被保護應用頁面的當前狀態，判斷頁面是否被攻擊者加入惡意代碼。同時通過檢測Web訪問日志及Web程序的存放目錄，檢測是否存在文件篡改及是否被加入Web Shell一類的網頁后門。
     5、事件應急響應：提前做好發生幾率較大的安全事件的預案及演練工作，力爭以最高效、最合理的方式申報并處置安全事件，并整理總結。
     6、 安全知識培訓：讓開發和運維人員了解并掌握相關知識，在系統的建設階段和運維階段同步考慮安全問題，在應用發布前最大程度地減少脆弱點。

為進一步推動高等院校網絡空間安全相關專業建設及人才培養工作的開展，加強國內各高等院校同行間的交流，培養國內網絡空間安全專業的師資力量，北京易霖博信息技術有限公司將在暑期舉辦系列“全國高校網絡空間安全專業師資培訓”。
      WEB安全年度盛典，由紅客訓練營主辦的以提升理論水平、實踐能力、創新WEB安全教學方案為目標。從市面最新WEB安全問題入手，將從課程到實驗、從互聯網到內網、從應用到終端之間的安全碰撞、互動、包融，甚至浴火重生的全新教學模式。著重對WEB安全攻防基礎知識、攻擊手段及防御措施進行系統講解和實操演練，可滿足高校教師開設系統化的WEB安全攻防理論與實驗課程需求。
     本次培訓，我們還特別邀請到了網絡安全大咖嘉賓一起參與，這也是很值得期待的。

特邀嘉賓：
Rip torn
OWASP中國區主席
Rip, OWASP中國區主席，長期專注于互聯網安全技術的研究，曾參加多個業界知名企業攻防實驗室、安全能力研究中心建設。在通用安全基準領域研究成果達到世界先進水平，并在電信、金融、互聯網等行業得到業界認可。
同時，參與多項安全相關標準以及行業基準的制定.
錢曉斌
華為企業網絡產品線首席安全架構師
長期專注于網絡安全產品開發與安全能力研究，早期從事國內最早的自主知識產權硬件防火墻、UTM軟硬件平臺研發，之后從事安全攻防、安全引擎與特征庫研究。在華為數年，負責安全能力體系建設及安全核心競爭力構建。關注安全生態圈及安全智能技術
李宗洋
北京天融信科技有限公司 副總裁
國家信息安全測評中心CISP授權講師CISI
國家信息系統項目管理師（高級）
工信部網絡與信息安全工程師（高級）
信息安全應急響應課程講師
信息安全攻擊與防御技術課程講師
企業信息安全、風險評估、應急響應高級顧問
有14年的信息安全行業從業經驗，對信息安全保障體系的整體規劃和建設工作有深入的理解和實踐
培訓時間地點
時間：2016年8月1日～10日
地點：四川省成都市建設北路二段四號
電子科技大學沙河校區
紅客訓練營與您約起來！

>> 未知攻，焉知防 <<

北京易霖博信息技術有限公司（51ELAB）是國內領先的信息安全綜合實訓平臺解決方案提供商，是國內擁有自主品牌和知識產權的專業信息安全公司。易霖博2013年進入國內信息安全實訓市場，秉承“安全實訓、虛實結合、課程豐富、人才培養”的理念，立足自主研發與持續創新，為用戶提供智能、安全、內容豐富的實訓產品、解決方案和優質的服務。

紅客學院：希望能為推動信息安全技術的發展作出貢獻，探索和涉足信息安全的未來，培養一批富有正義感的信息安全力量，打造成中國信息安全的預備役人才培養基地。