AppScan黑盒安全测试技术介绍

IBMRationalAppScan=。M应用安全研讨会Agenda应用安全现状概览应用安全防御技术简介·|BMRationa应用安全解决方案案例分析Demo信息系统应用安全解决之道IBMRationalAppScan=。M应用安全研讨会应用安仝形势日益严峻严峻FinanclalISP8%RetallInternetcommunity406GovernmentOnlInegamIng1%6Computerhardware1%1%Insurancec1%%Telecom76%1%ComputersoftwareSource:SymantecCorporation-InternetSecurityThreatReportIBMRationalAppScan=。M应用安全研讨会黑客技术在转移,防御手段却滞后l00%780%1,8752.0297060%50%40%3.4630%275093%95吟20%10%200720072003CllentsidevaInerabllitlesSever-sldeyulrerabllitlesPeriodINon-WabapplicationvulnerablltlesFigure14Attackedvulnerabilitiesbyattackvector,clientversusserverWeb-appllcatlonvulnerablltlesSource:secCorporation-InternetS2009杂统应用坐关之趋IBMRationalAppScan=。M应用安全研讨会大量应用安仝攻击涌现..45000oom40000.00n3500000025.000.00015.000.0005.000000JANFEBMARAPRMAY□CrosE-SltoScriptingInjectlonAttackInformationdterlosurcPathTrawEl日wTalCFEEwaUtienSource:IBMInternetSecuritySystemsX-Force@20091HTrendRiskReport信息系统应用安全解决之道IBMRationalAppScan=。M应用安全研讨会现状:以网终安全思路应对应用安全漏洞桌面防火墙1DS/PsWeb应用II,II.McAfeeoCIscosniper:1opINTERNETSECURITYIaCheckPointayerSYSTEMS'TippingPointCrossSiteWebserverScriptingDoSKnownParameterVulnerabilitiesTamperingAnti-spooFIngSInternetPortFirewallApplicationServersBackendServerScanningPattern-CookiebasedAttackPoisoningEncoded-DatabasesbasedAttackWebserversSQLInjection手工打补丁、代码审核信息IBMRationalAppScan=。M应用安全研讨会现状:不平衡的投入安全投入ofattacks%/oofdollars10WebApplications7590Network25%Server75%的信思安全攻击是针对Web应用层2/3的Web应用存在安全漏洞Gartner信息杀应用安全解决之道IBMRationalAppScan=。M应用安全研讨会大量女全事故的根源厅T安全通常关注仅网络和服务器FirewallsandPs不能阻止应用层攻击80,8080,443端口开放网络扫描器不能完全发现应用漏洞Nessus,ISS,Qualys,Nmap,etc丌T安全专家通常源于network/infrastructure方面,对软件开发经验较少开发人员缺乏安全培训和要求64%的开发人员不具备编写安全代码的能力(来MicrosoftDeveloperResearch)开发人员不关心安全缺乏明确的安全策略、流程以及工具信息系统应用安全解决之道IBMRationalAppScan=。M应用安全研讨会Agenda应用安全现状概览应用安全防御技术简介·|BMRationa应用安全解决方案案例分析Demo信息系统应用安全解决之道