屌丝的春天--6步实现Web应用的整体安全

随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，比如先前的很多影视网站VIP会员密码泄露大多就是通过Web表单递交查询字符实现的，这类表单特别容易受到SQL注入式攻击。

SQL注入攻击的原理本身非常简单，相关攻击工具容易下载，攻击者获得权限后有利可图。这使得它成为最有效的、攻击者最常采用的Web入侵手段，是众多网站成为恶意代码传播平台的起因之一。

针对这一攻击手段，安全专家认为，最根本的措施是对Web应用的用户输入进行过滤。并针对Web应用的基本特性，对Web应用的整体安全工作采取以下具体措施：
     1、Web应用安全评估：结合应用的开发周期，通过安全扫描、人工检查、渗透测试、代码审计、架构分析等方法，全面发现Web应用本身的脆弱性及系统架构导致的安全问题。应用程序的安全问题可能是软件生命周期的各个阶段产生的，其各个阶段可能会影响系统安全的要点主要有：
     2、Web应用安全加固：对应用代码及其中间件、数据库、操作系统进行加固，并改善其应用部署的合理性。从补丁、管理接口、账号权限、文件权限、通信加密、日志审核等方面对应用支持环境和应用模块间部署方式划分的安全性进行增强。
     3、对外部威胁的过滤：通过部署Web防火墙、IPS等设备，监控并过滤恶意的外部访问，并对恶意访问进行统计记录，作为安全工作决策及处置的依据。
     4、 Web安全状态检测：持续地检测被保护应用页面的当前状态，判断页面是否被攻击者加入恶意代码。同时通过检测Web访问日志及Web程序的存放目录，检测是否存在文件篡改及是否被加入Web Shell一类的网页后门。
     5、事件应急响应：提前做好发生几率较大的安全事件的预案及演练工作，力争以最高效、最合理的方式申报并处置安全事件，并整理总结。
     6、 安全知识培训：让开发和运维人员了解并掌握相关知识，在系统的建设阶段和运维阶段同步考虑安全问题，在应用发布前最大程度地减少脆弱点。

为进一步推动高等院校网络空间安全相关专业建设及人才培养工作的开展，加强国内各高等院校同行间的交流，培养国内网络空间安全专业的师资力量，北京易霖博信息技术有限公司将在暑期举办系列“全国高校网络空间安全专业师资培训”。
      WEB安全年度盛典，由红客训练营主办的以提升理论水平、实践能力、创新WEB安全教学方案为目标。从市面最新WEB安全问题入手，将从课程到实验、从互联网到内网、从应用到终端之间的安全碰撞、互动、包融，甚至浴火重生的全新教学模式。着重对WEB安全攻防基础知识、攻击手段及防御措施进行系统讲解和实操演练，可满足高校教师开设系统化的WEB安全攻防理论与实验课程需求。
     本次培训，我们还特别邀请到了网络安全大咖嘉宾一起参与，这也是很值得期待的。

特邀嘉宾：
Rip torn
OWASP中国区主席
Rip, OWASP中国区主席，长期专注于互联网安全技术的研究，曾参加多个业界知名企业攻防实验室、安全能力研究中心建设。在通用安全基准领域研究成果达到世界先进水平，并在电信、金融、互联网等行业得到业界认可。
同时，参与多项安全相关标准以及行业基准的制定.
钱晓斌
华为企业网络产品线首席安全架构师
长期专注于网络安全产品开发与安全能力研究，早期从事国内最早的自主知识产权硬件防火墙、UTM软硬件平台研发，之后从事安全攻防、安全引擎与特征库研究。在华为数年，负责安全能力体系建设及安全核心竞争力构建。关注安全生态圈及安全智能技术
李宗洋
北京天融信科技有限公司 副总裁
国家信息安全测评中心CISP授权讲师CISI
国家信息系统项目管理师（高级）
工信部网络与信息安全工程师（高级）
信息安全应急响应课程讲师
信息安全攻击与防御技术课程讲师
企业信息安全、风险评估、应急响应高级顾问
有14年的信息安全行业从业经验，对信息安全保障体系的整体规划和建设工作有深入的理解和实践
培训时间地点
时间：2016年8月1日～10日
地点：四川省成都市建设北路二段四号
电子科技大学沙河校区
红客训练营与您约起来！

>> 未知攻，焉知防 <<

北京易霖博信息技术有限公司（51ELAB）是国内领先的信息安全综合实训平台解决方案提供商，是国内拥有自主品牌和知识产权的专业信息安全公司。易霖博2013年进入国内信息安全实训市场，秉承“安全实训、虚实结合、课程丰富、人才培养”的理念，立足自主研发与持续创新，为用户提供智能、安全、内容丰富的实训产品、解决方案和优质的服务。

红客学院：希望能为推动信息安全技术的发展作出贡献，探索和涉足信息安全的未来，培养一批富有正义感的信息安全力量，打造成中国信息安全的预备役人才培养基地。