正文內(nèi)容

web應(yīng)用安全解決方案-wenkub

2023-05-12 22:28:16 本頁面

　

【正文】攻擊手段可以達到篡改數(shù)據(jù)庫和網(wǎng)頁、繞過身份認證和假冒用戶、竊取用戶和系統(tǒng)信息等嚴重危害網(wǎng)站內(nèi)容安全的目的。iGuard支持所有主流的操作系統(tǒng)，包括：Windows、Linux、FreeBSD、Unix（Solaris、HPUX、AIX）；支持常用的Web服務(wù)器軟件，包括：IIS、Apache、SunONE、Weblogic、WebSphere等；保護所有常用的數(shù)據(jù)庫系統(tǒng)，包括：SQL Server、Oracle、MySQL、Access等。公眾每次訪問網(wǎng)頁時，都將網(wǎng)頁內(nèi)容與數(shù)字水印進行對比；一旦發(fā)現(xiàn)網(wǎng)頁被非法修改，即進行自動恢復(fù)，保證非法網(wǎng)頁內(nèi)容不被公眾瀏覽。目前常用的針對Web服務(wù)器和Web應(yīng)用漏洞的攻擊已經(jīng)多達幾百種，常見的攻擊手段包括：注入式攻擊、跨站腳本攻擊、上傳假冒文件、不安全本地存儲、非法執(zhí)行腳本和系統(tǒng)命令、源代碼泄漏、URL訪問限制失效等。如圖示3所示，在目前安全投資中，只有10％花在了如何防護應(yīng)用安全漏洞，而這卻是75％的攻擊來源。防火墻IDS/IPSDoS攻擊端口掃描網(wǎng)絡(luò)層模式攻擊已知Web服務(wù)器漏洞跨站腳本注入式攻擊惡意執(zhí)行網(wǎng)頁篡改Web服務(wù)器數(shù)據(jù)庫服務(wù)器Web應(yīng)用應(yīng)用服務(wù)器圖示 1 Web應(yīng)用的安全防護但是，即便有防火墻和IDS/IPS，企業(yè)仍然不得不允許一部分的通訊經(jīng)過防火墻，畢竟 Web 應(yīng)用的目的是為用戶提供服務(wù)，保護措施可以關(guān)閉不必要暴露的端口，但是Web應(yīng)用必須的80 和443端口，是一定要開放的。”目前，利用網(wǎng)上隨處可見的攻擊軟件，攻擊者不需要對網(wǎng)絡(luò)協(xié)議深厚理解，即可完成諸如更換Web網(wǎng)站主頁、盜取管理員密碼、破壞整個網(wǎng)站數(shù)據(jù)等等攻擊。根據(jù) Gartner的最新調(diào)查，信息安全攻擊有75%都是發(fā)生在Web應(yīng)用而非網(wǎng)絡(luò)層面上。Web應(yīng)用不僅給用戶提供一個方便和易用的交互手段，也給信息和服務(wù)提供者構(gòu)建一個標準技術(shù)開發(fā)和應(yīng)用平臺。網(wǎng)絡(luò)的發(fā)展歷史也可以說是攻擊與防護不斷交織發(fā)展的過程。同時，數(shù)據(jù)也顯示，三分之二的Web站點都相當脆弱，易受攻擊。而這些攻擊過程中產(chǎn)生的網(wǎng)絡(luò)層數(shù)據(jù)，和正常數(shù)據(jù)沒有什么區(qū)別?？梢皂樌ㄟ^的這部分通訊，可能是善意的，也可能是惡意的，很難辨別。正是這種投資的錯位也是造成當前Web站點頻頻被攻陷的一個重要因素。攻擊目的包括：非法篡改網(wǎng)頁、非法篡改數(shù)據(jù)庫、非法執(zhí)行命令、跨站提交信息、網(wǎng)站資源盜鏈、竊取腳本源程序、竊取系統(tǒng)信息、竊取用戶信息等。同時，iGuard的應(yīng)用防護模塊也對用戶輸入的URL地址和提交的表單內(nèi)容進行檢查，任何對數(shù)據(jù)庫的注入式攻擊都能夠被實時阻斷。2． iWall應(yīng)用防火墻iWall應(yīng)用防火墻（Web應(yīng)用防護系統(tǒng)）是一款保護Web站點和應(yīng)用免受來自于應(yīng)用層攻擊的Web防護系統(tǒng)。iWall應(yīng)用防火墻對常見的注入式攻擊、跨站攻擊、上傳假冒文件、不安全本地存儲、非法執(zhí)行腳本、非法執(zhí)行系統(tǒng)命令、資源盜鏈、源代碼泄漏、URL訪問限制失效等攻擊手段都著有效的防護效果。2）自動發(fā)布和同步iGuard支持以下自動發(fā)布和同步功能：n 自動檢測發(fā)布服務(wù)器上文件系統(tǒng)任何變化；n 文件變化自動同步到多個Web服務(wù)器；n 支持文件/目錄的增加/刪除/修改/更名；n 支持任何內(nèi)容管理系統(tǒng)；n 支持虛擬目錄/虛擬主機；n 支持頁面包含文件；n 支持雙機方式的冗余部署；n 斷線后自動重聯(lián)；n 上傳失敗后自動重試；n 使用SSL安全協(xié)議進行通信；n 保證通信過程不被篡改和不被竊聽；n 通信實體使用數(shù)字證書進行身份鑒別；n 所有過程有詳細的審計。n 請求開始路徑過濾：限制HTTP請求中的對指定開始路徑地址的訪問。n 請求客戶端過濾：限制對指定HTTP客戶端的訪問及完整性檢查。n 內(nèi)容長度過濾：限制對指定HTTP請求內(nèi)容長度的訪問。n 請求參數(shù)過濾：對GET方法提交的參數(shù)進行檢查（包括注入式攻擊和代碼攻擊）。n 跨站腳本攻擊檢查：對指定的文件類型進行參考開始路徑的檢查。n 不同的主機頭名（即域名）。n 非法執(zhí)行腳本。n 網(wǎng)站資源盜鏈。n Web服務(wù)器：位于公網(wǎng)/DMZ中，本身處在不安全的環(huán)境中

點擊復(fù)制文檔內(nèi)容

公司管理相關(guān)推薦

城管移動執(zhí)法應(yīng)用解決方案-資料下載頁

【總結(jié)】城管移動執(zhí)法應(yīng)用解決方案一、城管現(xiàn)場執(zhí)法背景中國正經(jīng)歷著有史以來全球最大規(guī)模的一次城市化進程，然而城市管理水平除了制度落后，技術(shù)上也與發(fā)達國家有著相當?shù)牟罹?，然而我們城市?guī)模卻比發(fā)達國家的城市規(guī)模要大得多，面臨的問題也更多，更復(fù)雜，那么怎么樣從技術(shù)水平上提升我們的城市管理水平就成為一個重大課題。目前中國的城市管理的執(zhí)法權(quán)限劃分由于沒有統(tǒng)一的政策，而處

2025-10-16 16:48

電力巡檢移動應(yīng)用解決方案-資料下載頁

【總結(jié)】電力巡檢移動應(yīng)用解決方案北京無限立通通訊技術(shù)有限責(zé)任公司2020年3月29日電力移動巡檢解決方案第2頁共27頁

2025-10-14 21:47

肥料制造行業(yè)應(yīng)用解決方案-資料下載頁

【總結(jié)】肥料制造行業(yè)應(yīng)用規(guī)劃方案第1頁共51頁肥料制造行業(yè)應(yīng)用規(guī)劃方案編寫時間：版本：編寫部門：U8產(chǎn)品管理部

2025-10-17 14:42

物流行業(yè)應(yīng)用解決方案-資料下載頁

【總結(jié)】物流行業(yè)應(yīng)用解決方案中國聯(lián)通陜西分公司2009年2月法律性說明l本文檔包含的私有和保密信息屬于中國聯(lián)通公司。l本文檔的內(nèi)容復(fù)制和傳播，明確限制于中國聯(lián)通。l沒有其它特殊的說明，該文檔的任何部分不能以任何形式被復(fù)制或轉(zhuǎn)發(fā)。l該文檔可以附屬于合同，但不提供一個法律上正式的依據(jù)。

2025-05-10 12:45

電子商務(wù)應(yīng)用解決方案-資料下載頁

【總結(jié)】電子商務(wù)應(yīng)用解決方案電子商務(wù)技術(shù)概述　　隨著90s年代互聯(lián)網(wǎng)的商業(yè)化和本世紀的廣泛普及，互聯(lián)網(wǎng)已經(jīng)改變了商業(yè)的很多方面。7X24的不間斷運行、實時的信息溝通、低成本建設(shè)、全球化的服務(wù)，大多數(shù)企業(yè)認識到企業(yè)電子商務(wù)可以提高核心競爭力，為企業(yè)經(jīng)營帶來以下優(yōu)勢:　　·更廣泛的市場滲透?！　　そ⑸虡I(yè)自動化流程提高生產(chǎn)力和靈活性，如自動

2025-04-29 08:45

內(nèi)網(wǎng)安全解決方案-資料下載頁

【總結(jié)】1/34××××內(nèi)網(wǎng)安全解決方案上海寶信軟件股份有限公司2022年5月22日2/34目錄第1章背景與現(xiàn)狀................................................................................................

2025-04-30 23:38

稅務(wù)安全解決方案-資料下載頁

【總結(jié)】密密級：秘密稅務(wù)信息安全保障建議書-1-目錄第一章項目概述....................................................................................................

2025-10-20 04:01

信息安全解決方案-資料下載頁

【總結(jié)】河南CA信息安全解決方案河南省數(shù)字證書認證中心一、身份鑒別（一）、基本要求1、應(yīng)提供專用的登錄控制模塊對登錄用戶進行身份標識和鑒別；2、應(yīng)提供登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；3、應(yīng)啟用身份鑒別、用戶身份標識唯一性檢查、用戶身份鑒別信息復(fù)雜

2025-05-09 23:05

公共安全視頻聯(lián)網(wǎng)建設(shè)與應(yīng)用解決方案-資料下載頁

【總結(jié)】公共安全視頻聯(lián)網(wǎng)建設(shè)與應(yīng)用解決方案公共安全視頻聯(lián)網(wǎng)建設(shè)與應(yīng)用解決方案目錄第一章、概述 4 項目背景 4 總體目標 5 設(shè)計原則 5 建設(shè)內(nèi)容 6 設(shè)計依據(jù) 7 術(shù)語定義 7第二章、需求分析 8 現(xiàn)狀分析 8 基礎(chǔ)建設(shè)現(xiàn)狀 9 網(wǎng)絡(luò)建設(shè)現(xiàn)狀 9 平臺建設(shè)現(xiàn)狀 10 政策分析 10 需求分

2025-05-15 01:47

web服務(wù)器負載平衡的解決方案-資料下載頁

【總結(jié)】南海市信息網(wǎng)Web服務(wù)器負載平衡的解決方案新加坡電腦系統(tǒng)集團公司目錄第一章系統(tǒng)需求及分析..........................................................................................................................1第一

2025-04-22 22:16

移動管家應(yīng)用解決方案-資料下載頁

【總結(jié)】移動管家應(yīng)用解決方案目錄移動管家能為企業(yè)帶來哪些幫助？移動管家是什么？哪些企業(yè)在用移動管家管理企業(yè)1234移動管家辦理流程一、移動管家是什么?移動管家是為企業(yè)提升內(nèi)部流程化管理，將傳統(tǒng)的管理模式與現(xiàn)代通訊手段科學(xué)融合，實現(xiàn)實時在線、自動觸發(fā)、多種顯示模式的智能化流程管理，使企業(yè)能大大地降低運營成本、有效

2025-03-20 19:56

行業(yè)應(yīng)用解決方案手冊-資料下載頁

【總結(jié)】構(gòu)建虛擬世界服務(wù)真實生活共創(chuàng)和諧社會行業(yè)應(yīng)用解決方案手冊2022年11月Page2|PRIVATE&CONFIDENTIAL目錄一．公司介紹二．產(chǎn)品和服務(wù)三．解決方案四．應(yīng)用案例Page3|PRIVATE&CONFIDENTIALAMAP3

2025-01-16 09:58

短報文應(yīng)用解決方案-資料下載頁

【總結(jié)】2022/8/27北斗導(dǎo)航應(yīng)用CONTENTS目錄1北斗導(dǎo)航背景2短報文（RDSS）應(yīng)用3RNSS應(yīng)用短報文應(yīng)用（RDSS）01第4頁Copyright?2022上海北斗版權(quán)所有應(yīng)急通信領(lǐng)域?人防北斗應(yīng)急指揮系統(tǒng)?全國人防衛(wèi)星導(dǎo)航定位系統(tǒng)是利用北斗衛(wèi)星導(dǎo)航定位系統(tǒng)及相

2025-08-15 23:38

web人臉識別考勤機系統(tǒng)解決方案-資料下載頁

【總結(jié)】精選資料人臉識別考勤機系統(tǒng)（解決方案——微控科技）第一章、系統(tǒng)設(shè)計原則?1、可靠性和穩(wěn)定性?在系統(tǒng)設(shè)備選型、網(wǎng)絡(luò)設(shè)計、軟件設(shè)計等各個方面要充分考慮可靠性和穩(wěn)定性。在設(shè)計方面，資源充分利用做到集約性。在設(shè)備選型方面，要保證軟

2025-04-27 22:04