传诚信-网站安全性解决方案
常见攻击类型
1、缓冲区溢出
攻击者利用超出缓冲区大小的请求和构造的二进制代码让服务器执行溢出堆栈中的恶意指令。
2、Cookie假冒
精心修改cookie数据进行用户假冒。
3、认证逃避
攻击者利用不安全的证书和身份管理。
4、非法输入
在动态网页的输入中使用各种非法数据,获取服务器敏感数据。
5、强制访问
访问未授权的网页。
6、隐藏变量篡改
对网页中的隐藏变量进行修改,欺骗服务器程序。
7、拒绝服务攻击
构造大量的非法请求,使Web服务器不能响应正常用户的访问。
8、跨站脚本攻击
提交非法脚本,其他用户浏览时盗取用户帐号等信息。
传诚信提供的解决方案
WEB程序的安全性
.NET应用程序的安全性
Microsoft.NET框架实现了一个包含两层防护的安全性体系,来防范恶意攻击。
第一层称为基于角色的安全性,该层控制用户对应用程序资源操作的访问;
第二层称为代码访问的安全性,这层不仅控制代码对资源的访问,还将控制代码执行特权操作的权限。
代码访问安全性
代码访问安全性(Code Access Secutity,简称CAS),能够最大限度地防止用户无意识执行不安全的代码。
通过使用CAS,能够限制代码对资源的访问。
使用权限和权限集,并提供代码产地的证据,然后应用安全策略,就能实现CAS.
防止SQL注入式攻击是指攻击者能够在发送给数据库服务器的命令中插入其他SQL语句,所插入的命令将破坏、修改、获取私有数据。
使用加密
使用名称空间
Sytem.Security.Cryptography.
该命名空间提供加密服务,包括安全的数据编码和解码,以及许多其他操作,例如散列法、随机数字生成和消息身份验证。
加密法:
.NET的加密法主要基于CryptoAPI 和相关扩展。大多数有关加密的类都在System.security.Cryptography, X509Centificates 和XML中。.NET利用基于流的模型来完成加密传输,所有的算法都被默认为最高的安全级别。.NET也允许用户自己在 machine.config 中定义自己的算法。
框架安全性
框架在系统层面提供了众多的安全特性,确保你的网站和产品安全无忧。
这些特性包括:
XSS安全防护
表单自动验证
强制数据类型转换
输入数据过滤
表单令牌验证
防SQL注入
图像上传检测
主动式的检测机制
Web应用攻击成功的根本原因是Web程序存在安全漏洞,预防的一个有效途径是:在网站遭到持续危害之前,主动识别Web漏洞以及网页木马,并实施补救措施来避免攻击,减少损失。
Web漏洞不可能在开发的时候就被完全发现并修复,因此在网站提供服务的过程中,会被黑客不断挖掘,造成攻击。
传诚信通过整合多种专业检查工具的自动化检测平台和专业安全服务团队提供网站安全检查服务,每次检查都先由自动化检测平台进行初筛,确保检查尽可能高效且没有遗漏;然后再由专业安全服务专家对初筛结果进行逐一审核和修订,确保最终结果的准确性。传诚信通过完善的流程有效的将工具的效率和专家的质量很好的结合起来,确保服务的连续性和质量稳定性。
强大的工具库将支持我们的工作
IBM Rational AppScan 正是应对这一挑战的利器。
AppScan 拥有庞大完整的攻击特征库,通过在 http request 中插入测试用例的方法实现几百中应用攻击,再通过分析 http response 判断该应用是否存在相应的漏洞。 测试人员可以快速的定位漏洞所在的位置,同时 AppScan 可以详细指出该漏洞的原理以及解决该漏洞的方法,帮助开发人员迅速修复程序安全隐患。
网站安全联盟、eesafe网站工具、360安全检测等安全工具的检测。
Rational AppScan 工作示意图
定义扫描
结果分析
