活动简介
随着互联网的广泛普及,Web应用平台已经逐渐成为互联网信息交互的中心,随之而来的是Web应用面临的越来越严重的安全威胁,如何保障Web应用安全已经成为一个重要的研究课题。
据Gartner的最新调查,信息安全攻击有75%都是发在Web应用而非网络层面上。而针对Web应用的攻击,业内人士普遍认为最为严重的当属SQL注入、跨站脚本、web页面篡改。这些攻击与传统网络攻击相比具有许多新特征,如采用正常的HTTP协议携带恶意数据,使得传统的网络层防火墙和入侵检测系统无法识别;IPS虽然可以应对很多种协议攻击的检测, 但针对Web安全应用深度不够且缺乏主动防御等,必须从应用层的角度出发进行安全防护。因此,很多资深安全高手提出了新的解决思路,如:
Ø 利用WAF+Web入侵检测系统应对普通Web攻击及逻辑漏洞攻击
Ø 上线前必须过安全测试
Ø 把安全活动嵌入到开发周期中,尽量前置
Ø 代码安全规范
Ø 借助自动安全测试软件对Web/Mobile应用程序进行漏洞评估,扫描和检测等
基于以上情况,AIX专家俱乐部特别邀请到证券、保险行业的资深安全专家及IBM资深应用安全专家张老师在5月18日下午2-4点集中基于以下范围内问题为大家答疑解惑。
提问范围:
1.上线前安全测试的内容、方法、流程、评估标准
2.WAF+Web入侵检测系统应对普通Web攻击及逻辑漏洞攻击的原理、方法、达到效果、注意事项等
3.对Web/Mobile应用程序进行漏洞评估扫描软件的选型,AppScan安全测试套件的原理、优势、成功案例等
主题资料
IBM应用安全保护——管理应用安全风险
据Gartner的最新调查,信息安全攻击有75%都是发在Web应用而非网络层面上。而针对Web应用的攻击,业内人士普遍认为最为严重的当属SQL注入、跨站脚本、web页面篡改。这些攻击与传统网络攻击相比具有许多新特征,如采用正常的HTTP协议携带恶意数据,使得传统的网络层防火墙和入侵检测系统无法识别;IPS虽然可以应对很多种协议攻击的检测, 但针对Web安全应用深度不够且缺乏主动防御等,必须从应用层的角度出发进行安全防护。因此,很多资深安全高手提出了新的解决思路,如:
Ø 利用WAF+Web入侵检测系统应对普通Web攻击及逻辑漏洞攻击
Ø 上线前必须过安全测试
Ø 把安全活动嵌入到开发周期中,尽量前置
Ø 代码安全规范
Ø 借助自动安全测试软件对Web/Mobile应用程序进行漏洞评估,扫描和检测等