重保专题 | 6招带你轻松扫除重保期间互联网资产安全风险
国庆假期来临、第二十次全国代表大会举办……今年的金秋十月在大家的期待中即将到来。然而,此类重要国家会议活动、节假日对于政府单位、国企、重点高校而言,却是需要异常警惕的时期。 因为这些组织单位自身的公信……
强强联手 百度加速乐与ASPCMS达成合作
提供极致的加速与安全服务,百度加速乐通过尽可能多的方式给予每一个网站提供最好的服务,近日百度加速乐与ASPCMS产品开发方上谷网络开源实验室正式达成合作,双方将在网站安全加速方面展开全面合作,为ASPCMS用户提供更好的服务。
专家浅析WEB应用防火墙绕过测试技术
伴随大量数据泄漏事件的发生,业务安全及应用安全的关注度已经达到前所未有的高度。如何保障业务安全及应用安全,以成为掌握核心数据用户的首要关注点!这就是OWASP 2012中国峰会上,安恒信息总裁范渊先生……
第三代网页防篡改系统——安恒明御网站卫士
明御网站卫士——先进的文件驱动、核心内嵌、实时触发技术,自主研发的第三代网页防篡改系统 产品概述 明御网站卫士网页防篡改系统(简称:WebProtector)是依托专业的安全团队,凭借雄厚的研发实力,……
“安全宝”荣获TechCrunch创业企业竞技场第二名
11月1日,备受瞩目的国际TechCrunch大会创业企业大赛揭晓,“安全宝”凭借革命性的云安全防护技术,从全球400多家高科技创新企业中脱颖而出,获得评委一致肯定,荣获创业企业竞技场第二名,是TechCrunch历史上中国企业获得的最高名次。
中国是“安全宝”业务成长最重要的基石,公司CEO马杰在决赛第二轮评选中坚持采用中文进行演讲,这同样也是TechCrunch大会历史上的“第一次”,这一高举本土化旗帜的“创新”举动,获得了现场评委和听众的热烈掌声。
作为创新工场重金投资的云计算及信息安全项目,“安全宝”力图将众多网站用户从日益严峻的安全困扰中解脱出来,获得“自来水”式的安全防护。用户只需登录“安全宝”网站(www.anquanbao.com)并进行简单的配置,几分钟内就可让自己的网站获得最先进的安全防护,不仅不再需要传统繁琐的设备部署与维护,大大降低了网站防护成本,更借助全新的云安全技术,将网站的安全防护能力提升到了一个新的高度。
...
中国是“安全宝”业务成长最重要的基石,公司CEO马杰在决赛第二轮评选中坚持采用中文进行演讲,这同样也是TechCrunch大会历史上的“第一次”,这一高举本土化旗帜的“创新”举动,获得了现场评委和听众的热烈掌声。
作为创新工场重金投资的云计算及信息安全项目,“安全宝”力图将众多网站用户从日益严峻的安全困扰中解脱出来,获得“自来水”式的安全防护。用户只需登录“安全宝”网站(www.anquanbao.com)并进行简单的配置,几分钟内就可让自己的网站获得最先进的安全防护,不仅不再需要传统繁琐的设备部署与维护,大大降低了网站防护成本,更借助全新的云安全技术,将网站的安全防护能力提升到了一个新的高度。
...
中软华泰网站防护安全解决方案
1操作系统安全加固
在操作系统底层利用信任链机制,对系统中所有装载的可执行文件代码(例如,EXE、DLL、SYS、COM等)进行严格的控制,所有可执行文件代码在加载运行之前都需要先经过检验,只有通过验证的代码才可以加载,这种方式可以有效阻止恶意代码的运行,从而有效保障操作系统自身的完整性和可用性不被破坏。
验证方法为:首先为系统制定可信白名单,即允许执行代码的hash,在进程装载二进制代码之前首先计算其hash值,并与可信白名单进行比较,不在白名单中的一概不允许执行,这样既可以防止恶意代码运行,又可以防止恶意代码依附其他系统或应用程序运行,确保执行代码的真实性和完整性,同时效率上不会有明显影响。
...
在操作系统底层利用信任链机制,对系统中所有装载的可执行文件代码(例如,EXE、DLL、SYS、COM等)进行严格的控制,所有可执行文件代码在加载运行之前都需要先经过检验,只有通过验证的代码才可以加载,这种方式可以有效阻止恶意代码的运行,从而有效保障操作系统自身的完整性和可用性不被破坏。
验证方法为:首先为系统制定可信白名单,即允许执行代码的hash,在进程装载二进制代码之前首先计算其hash值,并与可信白名单进行比较,不在白名单中的一概不允许执行,这样既可以防止恶意代码运行,又可以防止恶意代码依附其他系统或应用程序运行,确保执行代码的真实性和完整性,同时效率上不会有明显影响。
...
2010——满地遍是网页防篡改和WAF
其实网站防护类产品中间的空挡很长了……从2002年SQL注入漏洞开始在国内流行,到后来的跨站泛滥,中间几年的时间都没有几个安全公司推出一个好的解决方案。依然是靠防火墙封IP、封端口,装杀毒,装IDS。
后来几乎是一夜之间,出现了N个做网页防篡改的厂家,慢慢的也开始增加SQL注入和跨站防护模块,比较早的厂家:上海天存、济南中创。都是软件。
再后来,在我印象中应该是杭州安恒和上
后来几乎是一夜之间,出现了N个做网页防篡改的厂家,慢慢的也开始增加SQL注入和跨站防护模块,比较早的厂家:上海天存、济南中创。都是软件。
再后来,在我印象中应该是杭州安恒和上
网路游侠:用网页防篡改和WEB应用防火墙保护网站安全
前几天也给大家说过WEB应用防火墙,包括软件的和硬件的,今天游侠(http://www.youxia.org)再给大家推荐个产品,当然这个是二合一的,就是:网页防篡改+WEB应用防火墙。比较有特色,好了,废话不说,正文开始:
安装就跳过了,相信对本文感兴趣的人都可以按照说明书配置。下面只说一些功能。
产品本身有配置向导,可以让一个新手也可以在1分钟之内轻松的完成网站的默认防护,当然如果要求比较高,可以定制策略,下图就是对网站文件进行防护的一个设置:
可以看到,可以对文件操作权限进行设置,包括读取、写入、改名、删除等,禁止删除、改名、写入,实际上就实现了网页的防篡改功能。如果是目录的禁止写入,则彻底无法改变网站的任何内容了,适合于需求较高的政府网站。
当然,可以对某些文件类型设置信任,如.mdb不禁止写入,这样动态网站就可以正常更新。
可以设置信任进程,对通过信任进程进行的操作进行放行,否则阻断。举个简单的例子:可以通过FlashFXP覆盖,但是无法通过LeapFTP覆盖,这样黑客不知道信任进程,就无法随便进行篡改了。
当然,作为一款合格的网站防护产品,备份功能也是必须的。比如:开机备份、备份加密等。
上面是对网页防篡改功能进行的介绍,下面介绍网站防护功能,要知道,多数网站被黑是由于自身存在漏洞导致的,那么网站防护功能可以较好的防范自身存在的漏洞,如常见的SQL注入、跨站脚本攻击等。
我下面配置了一个策略,名称是“www.youxia.org”
可以配置策略的响应方式:记录且阻止、仅记录、停止。
下面是策略的详细内容:
当然,还可以对每个子项进行详细的规则设置,这个就不挨个说了。像跨站脚本、SQL注入等均可设置,亦可设置网站访问的黑白名单。
下面我分别提交2个语句,一个是注入,一个是跨站,看网站防护系统的阻断功能:
可以看到均被阻断,并且给出了错误提示。当然,管理员也会看到这个报警提示,登录后台可以看到提示:
我尝试改变编码和攻击的形式,也均被阻断,防范效果良好。
相对于单纯的网页防篡改保护系统,本软件提供了抗攻击功能,这样能阻断黑客与服务器之外。
相对于单纯的WEB应用防火墙软件,本软件提供了防篡改功能,这样即使被入侵也无法篡改网站。
网路游侠(http://www.youxia.org)推荐采用网页防篡改+WEB应用防护于一体的安全防护软件保护网站安全。
作者:张百川(网路游侠)
网站:http://www.youxia.org
转载请注明来源!谢谢合作。
安装就跳过了,相信对本文感兴趣的人都可以按照说明书配置。下面只说一些功能。
产品本身有配置向导,可以让一个新手也可以在1分钟之内轻松的完成网站的默认防护,当然如果要求比较高,可以定制策略,下图就是对网站文件进行防护的一个设置:
可以看到,可以对文件操作权限进行设置,包括读取、写入、改名、删除等,禁止删除、改名、写入,实际上就实现了网页的防篡改功能。如果是目录的禁止写入,则彻底无法改变网站的任何内容了,适合于需求较高的政府网站。
当然,可以对某些文件类型设置信任,如.mdb不禁止写入,这样动态网站就可以正常更新。
可以设置信任进程,对通过信任进程进行的操作进行放行,否则阻断。举个简单的例子:可以通过FlashFXP覆盖,但是无法通过LeapFTP覆盖,这样黑客不知道信任进程,就无法随便进行篡改了。
当然,作为一款合格的网站防护产品,备份功能也是必须的。比如:开机备份、备份加密等。
上面是对网页防篡改功能进行的介绍,下面介绍网站防护功能,要知道,多数网站被黑是由于自身存在漏洞导致的,那么网站防护功能可以较好的防范自身存在的漏洞,如常见的SQL注入、跨站脚本攻击等。
我下面配置了一个策略,名称是“www.youxia.org”
可以配置策略的响应方式:记录且阻止、仅记录、停止。
下面是策略的详细内容:
当然,还可以对每个子项进行详细的规则设置,这个就不挨个说了。像跨站脚本、SQL注入等均可设置,亦可设置网站访问的黑白名单。
下面我分别提交2个语句,一个是注入,一个是跨站,看网站防护系统的阻断功能:
可以看到均被阻断,并且给出了错误提示。当然,管理员也会看到这个报警提示,登录后台可以看到提示:
我尝试改变编码和攻击的形式,也均被阻断,防范效果良好。
相对于单纯的网页防篡改保护系统,本软件提供了抗攻击功能,这样能阻断黑客与服务器之外。
相对于单纯的WEB应用防火墙软件,本软件提供了防篡改功能,这样即使被入侵也无法篡改网站。
网路游侠(http://www.youxia.org)推荐采用网页防篡改+WEB应用防护于一体的安全防护软件保护网站安全。
作者:张百川(网路游侠)
网站:http://www.youxia.org
转载请注明来源!谢谢合作。
每日一黑:陕西某市信息港
标题写的挺迷惑人 嘿嘿 有时间就“友情测试”下吧
不过自己有自己的原则:
1、绝不卖shell
2、绝不篡改网页
3、尽量帮助管理员
最近一段时间在忙着做公司的整体网站解决方案
于是每晚上没事的时间也会找个网站看看安全性
当然——未授权的安全检测。呵呵
今天给全省各地市的客户经理培训的时候某客户经理说渗透测试的效率如何?
说实话,自己也很久不做渗透了,不过想捡起来也不算慢
某市信息港……安全性挺烂
其实能得到后台的最高权限就不想继续了
因为作为一个政府运营的网站,能删除所有信息、能篡改首页,够了……
足够撤销负责人的职务了吧?——如果发生在敏感时期的话。
网站头条是某市政府发的通知,不需要改成什么了吧?呵呵
回头写个网站的评估方案给他们看看
实际上,防止黑客攻击有时候并不难,举手之劳而已
但是依然很多网站没有做……
回想到昨天西安附近某政府网站的负责人联系我
说想给网站做整体安全评估
10分钟之内,给了个他网站服务器内部文件的截图……
实际上技术含量也没多高
但是网站就像一个木桶
决定能盛水多少的不在于最高的木板,而在于最低的那一块
不过自己有自己的原则:
1、绝不卖shell
2、绝不篡改网页
3、尽量帮助管理员
最近一段时间在忙着做公司的整体网站解决方案
于是每晚上没事的时间也会找个网站看看安全性
当然——未授权的安全检测。呵呵
今天给全省各地市的客户经理培训的时候某客户经理说渗透测试的效率如何?
说实话,自己也很久不做渗透了,不过想捡起来也不算慢
某市信息港……安全性挺烂
其实能得到后台的最高权限就不想继续了
因为作为一个政府运营的网站,能删除所有信息、能篡改首页,够了……
足够撤销负责人的职务了吧?——如果发生在敏感时期的话。
网站头条是某市政府发的通知,不需要改成什么了吧?呵呵
回头写个网站的评估方案给他们看看
实际上,防止黑客攻击有时候并不难,举手之劳而已
但是依然很多网站没有做……
回想到昨天西安附近某政府网站的负责人联系我
说想给网站做整体安全评估
10分钟之内,给了个他网站服务器内部文件的截图……
实际上技术含量也没多高
但是网站就像一个木桶
决定能盛水多少的不在于最高的木板,而在于最低的那一块
公安部82号令:互联网安全保护技术措施规定
中华人民共和国公安部令
第82号
《互联网安全保护技术措施规定》已经2005年11月23日公安部部长办公会议通过,现予发布,自2006年3月1日起施行。
公安部部长:周永康
二五年十二月十三日
互联网安全保护技术措施规定
第一条 为加强和规范互联网安全技术防范工作,保障互联网网络安全和信息安全,促进互联网健康、有序发展,维护国家安全、社会秩序和公共利益
第82号
《互联网安全保护技术措施规定》已经2005年11月23日公安部部长办公会议通过,现予发布,自2006年3月1日起施行。
公安部部长:周永康
二五年十二月十三日
互联网安全保护技术措施规定
第一条 为加强和规范互联网安全技术防范工作,保障互联网网络安全和信息安全,促进互联网健康、有序发展,维护国家安全、社会秩序和公共利益
