分类： 安全

　　几个月以前我决定去探查一下Web应用层防火墙(WAF)是否真正有用，或者它仅仅是一个花费巨大的披着华丽外衣的废物，只是使得审计人员用来逃脱职责。

　　当然，WAF的卖家总是一成不变的告诉我们他们的产品是如何如何的好，有多少多少的客户在使用他们的产品，但是，这不是最好的方式来了解真实的情况。我也在与一些最终用户的谈论中获知了一些真实的情况，甚至这种方式也不是一个发现安全工具价值的最好方式。并不是所有的使用者有很好的观察法和内部控制方式去测试这些工具的效用，而且由于一些政治和技术方面的原因，很多人并不能够以最优的方式去部署这些工具。
...

　　随着移动设备技术的日益精进以及一些移动平台对市场的垄断，攻击者们在2011年不可避免地将攻击重点放在移动设备上，而移动设备即将成为机密数据丢失的主要源头。根据移动专家Mocana公司的研究，参与调查的企业中，65%的IT从业人员已经或将要定期关注针对智能移动设备的攻击。

　　IDC还预测，截止2011年底，10亿工作人员将会在部分时间处于移动状态，或者在离开公司所在地的地点办公。 随着这一情况的发生，企业将不得不采用新模式来应对由此产生的一系列挑战，如云安全，进而实现在多平台和设备之间工作的无缝链接。预计IT管理人员由于业务需要也会执行更加精细的网络安全策略。
...

　　管理资讯保安服务领导供应商Verizon Business对过去几年里危害程度比较深的90个安全漏洞进行了一次系统分析，发现与这90个安全漏洞相关的“犯案”记录竟然高达2.85亿条，惊人的数字，不是吗?其中大多数重头案件都涉及有组织犯罪，比如非法登录一个未加保护网络，并窃取信用卡资料、社会安全号码或其他个人身份信息等等。

　　而令人惊讶地是，这些安全漏洞大多是由于网络管理员没有对自己负责的网络系统，尤其是非关键服务器采取明显的防护措施造成而造成的。

　　“根本原因就在于网络管理员没有做好最基本的工作，就这么简单。” Verizon Business技术创新部副总裁Peter Tippett说，Tippett是安全领域的权威人士，从事安全漏洞审计工作长达18年之久。
...

　　客户是银行业的基石。当我们到当地银行分支机构来办理日常银行业务或者享受其他银行服务，我们首先必须向银行人员验证自己的身份，并且通常需要通过多种识别条件。我们有这样的意识，坦率地说，我们希望在进行任何业务操作之前，银行机构会对我们的身份进行核实。

　　那么，为什么作为网上银行客户，我们却无法容忍这种身份验证带来的麻烦？并且不愿进行足够的网上身份验证以阻止犯罪分子企图窃取我们的网上银行证书或者影响我们的网上银行操作。

　　随着犯罪分子逐渐将目光转向银行客户，他们使用先进的技术(网络钓鱼、恶意软件、键盘记录器和木马等等)来窃取网上银行证书，银行业也开始部署同样先进、更强大的多因素身份验证技术来应对这些犯罪分子。虽然这些解决方案提供了强大的安全保护，但同时也给客户的用户体验带来明显的复杂性，这从市场营销和客户关系的角度来看并不理想。因此，处理用户体验和安全之间的关系成为网上银行的关键成功因素。
...

　　“每天都有新发现木马病毒200万个，平均存活时间只有5分钟，传统的安全方法已经无法与之响应，没有任何服务器可以承载该频率。”国家互联网应急中心云晓春在2010中国计算机网络安全年会上表示。

　　然而，面对如此严峻的形势，传统的杀毒软件却越来越显得无能为力——传统杀毒软件主要采用特征库查杀引擎来查杀病毒，用户需要连接互联网并登陆杀毒软件厂商网站下载病毒库后才能进行病毒查杀。

　　而这种杀毒软件的特征库升级机制沿袭了20年未曾改变，甚至成为厂商和用户的“紧箍咒”。而造成的结果就是，不仅用户每次登陆并下载病毒库十分麻烦，而且资源占用过大和滞后查杀的弊端日益明显，无力应对目前泛滥的恶意程序。
...

　　金融类恶意软件关注的重点是利用自动清算系统(ACH)进行的交易和电子资金划拨(EFT)。这类恶意软件会试图窃取登录和会计信息，以便利用电子资金划拨的形式将受害者的资金转移到攻击者选择的银行账户上。

　　在对金融类恶意软件进行深入研究后，安全专家们发现存在两种类型的攻击模式。

　　常规攻击：这种类型的恶意软件旨在通过所有SSL会话而不仅仅是银行站点来盗取用户登录信息。举例来说，攻击者还搜集基于网络的电子邮件和脸谱之类社会化网站的证书，具体的步骤如下所示：

　　1、使用者访问网站的登录页面。
...

　　WEB应用的重要性

　　随着互联网技术的发展，WEB应用越来越受到业务系统的重视，WEB应用已经与我们的核心业务系统密不可分。如今的电子政务、电子商务、网上银业、网上营业厅等均以WEB为载体。WEB也由原来的网站浏览的代名词转变为诸如网上报名、网上交易、网上报税等多种业务应用系统。

　　WAF的价值

　　WEB价值重点体现在门户网站的时代时，我们所面临的安全威胁主要源自网站被黑或者网站被篡改，因此网页防篡改技术得到成长并大量使用。应用推运系统架构革新，而系统架构的和革新推动安全技术的发展。WEB应用防火墙也不例外，也是在现有WEB防护技术力日益无法满足业务的新需求时诞生的。
...

　　根据中国互联网络信息中心最新发布的数据，截至2010年6月底，我国网民规模已达4.2亿人，互联网普及率持续上升增至31.8%。2010年上半年CNCERT共接收4780次网络安全事件报告（不包括扫描和垃圾邮件类事件），与2009年上半年相比增长105%。其中，恶意代码、漏洞和网页仿冒事件报告次数居前三位。仅2010年上半年就有59.2%的网民在使用互联网过程中遇到过病毒或木马攻击；30.9%的

　　Web安全问题的技术根源和攻击方法的演进在全球范围内是一样的，所以不管在国内还是国外，WEB应用防火墙（WAF）必定会成为主流的Web应用安全解决方案。

　　不过，有些用户一度认为另外一个产品就是WEB应用防火墙，它就是网页防篡改系统。网页篡改始终是令国内网站头疼的Web安全问题。而且，此类攻击的数量还在呈现上升的趋势。政府门户网站、高校、企业、运营商的网站都出现过严重的网页篡改事件。因此，网页防篡改系统迅速流行起来。

　　网页防篡改系统是一种软件解决方案，它的防护效果直接，但是它的部署位置和基本原理决定了，它只能保护静态页面，而无法保护动态页面。梭子鱼公司中国总经理何平表示，为了解决这个问题，有些网页防篡改系统供应商提出在Web服务器上再安装诸如“SQL注入防护模块”的方案，但这会影响Web服务器性能，而且对动态页面的篡改方法远远不只是“SQL注入”，这种打补丁的方案从长远来看是不行的。
...

　　0、也许都是瞎扯！
　　
　　首先，我这个标题自然就是认为，现在国内的渗透测试已经做的不像服务了，可谓乱象丛生，一个高端的技术服务最后成了白菜，真是可悲。所以，才有此文。
　　当然，一切都只是根据我的经验所得，纯属个人行为和个人观点，也许你看完之后发现，这都是瞎扯淡！
　　
　　1、前言：这可能吗？
　　
　　08年，我萌生了这样的一个想法，在一次为其期近两周的渗透测试中细化了黑

Safe3 WVS技术优势：

SQL注入网页抓取
　　网页抓取模块采用广度优先爬虫技术以及网站目录还原技术。广度优先的爬虫技术的不会产生爬虫陷入的问题，可自定义爬行深度和爬行线程，网站目录还原技术则去除了无关结果，提高抓取效率。并且去掉了参数重复的注入页面，使得效率和可观性有了很大提高。

　　NTPWEdit是Windows NT的系统密码编辑器（如Windows 2000，XP和Vista），它可以改变或删除本地系统帐户的密码。此程序无法解密密码或更改域和Active Directory密码。
　　NTPWEdit可以直接修改C:\WINDOWS\SYSTEM32\CONFIG\SAM文件。在运行时，操作系统将阻止任何文件访问个文件，所以密码编辑器必须被另一个Windows副本执行。

　　感谢Stonesoft中国的朋友将AET的技术资料发送给游侠安全网(www.youxia.org)分享。

　　作为回报，游侠安全网在近期也会发布更多AET的相关资料，感谢各位关注！
　　下载AET高级逃逸技术介绍：
　　AETTechnicalPresentation_US_cn.pdf

　　游侠 www.youxia.org 在华安论坛看到noless的一个学习Web安全的计划，感觉不错，贴在博客，学习Web安全的兄弟们可以参考。
-----------------------------------
标题为Web安全学习计划，实属我的愿望：将下面这份Web学习清单完善成为一个Web安全，学习计划指导性帖子。

说明：本来打算给自己设计一个详细的学习计划，但是发现这些学习内容罗列出来后，发现这是个很庞大的系统，一时不知该如何来安排时间（自已把自己杯具了~~）。那就暂时成了如下的一个学习清单列表。发表出来，希望看看大家的建议。想成学习计划虽为私心，但如果修改得好也是一个福利大多想学习Web安全的朋友的一个机会。
...

　　网站安全监测系统抛弃传统的单纯依靠硬件或软件产品进行网站防护的思路，而是提出“预防为主，应急为辅”的新的网站安全防护观念。系统采用C/S架构，由网站端和实时监测平台组成。结合网站端自动安全防护和监测端实时监测，对网站异常提供双重保护，在应用层拦截针对网站的各种攻击，实时监测、及时告警。