网站应用层安全隐患评估系统

网站应用层安全隐患评估系统网站应用层安全隐患评估系统 AppExplore Version1.0RealSOI Information Security R&D Lab业界专家论证会业界专家论证会FU NianDong（傅念东）Network Security ResearcherREALSOI INFO TECH CISO 目录n 专家介绍n 公司简介n RealSOI AppExplore &APP Securityn 产品化特点n 典型案例n 总结专家介绍n高庆狮高庆狮 院士院士n卿斯汉卿斯汉 中科院研究员中科院研究员n贺也平贺也平 中科院副研究员n陈立杰陈立杰 军方高工n徐广方徐广方 军方总工、高工n江常青江常青 国家测评认证中心情报部主任目录n 专家介绍n 公司简介n RealSOI AppExplore &APP Securityn 产品化特点n 典型案例n 总结REALSOI INFO TECHn 瑞索讯杰信息技术（北京）有限公司是成立于2002年7月的高新技术型企业和“双软认证”企业n 公司位于中国北京，并在西安、上海设有研发合作小组，从事网络安全领先技术的研究和产品开发n 公司定位于App Security和Computer Forensicsn Certified Information Systems Security Professional (CISSP)n Certified Information Systems Auditor (CISA) n CISP lecturern RealSOI-Anitsolution Information Security R&D Lab 一流的App Security Lab & Computer Forensics LabAnitsolutionn 北京华安永诚信息系统有限公司由资深信息技术、网络安全专家创建的专业服务公司n 公司致力于网络安全集成和专业的网络安全服务n 与瑞索讯杰共同出资组建信息安全积极防御实验室，专注应用安全和计算机取证技术、产品的研发与推广n 主流安全厂商良好的合作关系n 骨干员工来自国内外知名的网络安全公司n 企业技术领导人于90年代中期开始致力于网络事业n 开始于1998年，先后为国内两家一流安全企业创办积极防御研究中心并担任技术负责人n 成功参与和负责国家信息安全项目的设计和监理n 国际CISSP认证/国内CISP讲师认证n 成功参与过多起计算机犯罪专家取证n 成功领导多个行业安全风险评估工程中国电信/中国移动/证券/银行REALSOI LEADER REALSOI LEADERn 1999年创办中国最大的驱动程序开发资源论坛-”中国驱动开发网” n 著作JAVA高级开发指南；n 著作DriverStudio 开发指南及库参考；n 著作Windriver开发指南及库参考；n 著作程序春秋REALSOI成功案例 成功实施河南省济源市网上行政审批便民服务系统集成和网络安全整体工程，合作企业：国研股份安全知识培训服务中国保监会网站安全保障服务 合作者：华安永诚中国国际招标网网站系统安全评估和保障服务 中石化工程建设公司安全风险评估，合作者：江南科友对北京公安一局进行网络技术及FBI取证技术课程培训，周期一个月； 国家质量监督检疫总局系统网络安全轮训；信息产业部安全培训；中央电视台央视网络安全培训；合作者：清华继续教育学院；成功案例成功地完成了中国电信31个省份网管人员的UNIX攻击和防御技术培训，为期3天；成功地完成了中国国家评测中心实验室的网络攻击和防御技术培训；荣幸地被中国国家评测中心唯一免试特聘为UNIX安全管理课程讲师，并成功完成人民银行CISP认证培训网络攻击和防御技术培训以及UNIX安全管理培训； 并将于2003年4月14日参与该中心组织的民生银行CISE认证培训授课；协助西安市公安局信息大队公安人员进行电子信息犯罪取证现场技术专家分析，使用到我公司的信息犯罪取证智能决策和指导知识库系统，地点：宝鸡市AppExplore V1.0军用版技术培训和相关项目合作；AppExplore系我公司自主研发成功的国内首套大型网站应用层安全隐患测评系统，目前产品系列分析军用版/金融版/电子政务版/大型企业版为西安市电信局信息部门开发新一代IP地址分布式定位系统，即将投入使用；与英国标准协会北京OFFICE(BSI BEIJING)协力推动BS7799标准在中国保险行业的应用；REALSOI 的安全研究历程安全硬件平台安全硬件平台动态安全动态安全资源管理资源管理与Anitsolution共同为用户提供一流的安全资源整合和企业风险管理FirewallIDSAnti VirusVPN CA非法途径拨号外联管理HTTP/HTTPS80/443黑客自由出入的通道？Middle-Ware APP SERVERWEB SERVERDATABASE当前当前70%70%的入侵来自的入侵来自WEBWEB应用层应用层企业级应用层安全隐患评估企业级应用层安全隐患评估统计统计统计全球黑客利用应用层已知或者未知的安全隐患入侵破坏技术，对各类型网站应用平台构成巨大威胁：-新闻报道AtomicP alerts customers to breach CNetNMar 20, 2001Nasdaq defaced.and other seasonal graffiti SecurityW Dec 27,2000AP Site Hacked Interactive WeekMar 20,2001French Group Claims DoubleClick hacked for 2 years Ecommerce Times, Mar 28, 2001 Electronic Holy War Hits D.C. Pro-Israel Site Newsbytes, Nov 3, 2000 NT remains hackers favorite VNUnet, Jan 10,2001 Hackers hit U.S., U.K., Australian government sites- InfoWorld Jan 22, 2001 Travelocity exposes customer information CNet Jan 22, 2001 U.S. Navy Hacked SecurityW, March 30,2001 Lax Security Found in IRS Electronic Filing System LA TImes, Mar 15, 2001 -黑客已经无数次地造成：1. 网上电子商城业务系统遭受黑客完全访问网上电子商城业务系统遭受黑客完全访问2. 网上花市用户信用卡数据失窃网上花市用户信用卡数据失窃3. 网上电子书城重要数据被删除网上电子书城重要数据被删除4. 网上电子商务交易被黑客伪造等网上电子商务交易被黑客伪造等5. 政府网上形象站点页面被黑客涂抹政府网上形象站点页面被黑客涂抹6. 其它方面影响其它方面影响统计n 根据美国联邦商务委员会(Federal Trade Commission)调查显示，2002年期间，全球与网络安全直接相关的经济损失高达18亿美金n 恶性蠕虫出现之后，损失将显著增加 研究跟踪发现：近期将出现利用网站应用层漏洞如SQL INJECTION隐患进行破坏性攻击的新一代恶性蠕虫！n 60% 的入侵者会考虑从 Application level 进行入侵，通常，网络中的加密手段和防火墙措施都被绕过n 事实上， WEB应用正逐渐成为网上商业的核心n “Security is a BUSINESS DRIVER !” 只有安全，网上商业才能有动力！n 专业针对应用中未被揭露的安全隐患自动化评估系统已经被成功研制，可以辅助解决应用层大量已知和未知的安全问题最新动态n瑞索咨询家网站应用层安全隐患评估系统AppExplore受到中国信息安全产品测评认证中心的关注，并在中心试用n受到北京信息安全测评中心的关注，拟作为党政网站的应用安全评估工具Thanks!网站应用层安全隐患评估系统网站应用层安全隐患评估系统 AppExplore Version1.0FU NianDong（傅念东）Network Security ResearcherREALSOI INFO TECH CISO RealSOI Information Security R&D Lab业界专家论证会业界专家论证会关注应用安全-完善安全体系n 大量黑客事件警示了防火墙和入侵监测系统在应用层攻击手段下往往无能为力n 安装补丁不能完全解决应用安全问题n 应用程序安全编码对于完善整个安全体系的重要性n 采用科学的评估手段针对企业WEB系统进行“黑箱子测试”，实施多方位的应用层入侵技术模拟评估，揭露应用安全隐患迫在眉睫应用安全启示：应用安全启示：REALSOI 的安全定位nApp Security 应用安全nComputer Forensics 计算机取证 RealSOI AppExplore &APP Securityn 专家介绍n 公司简介n RealSOI AppExplore &APP Securityn 产品化特点n 典型案例n 总结REALSOI AppExploren 成熟产品化商业评估软件n 专业应用层安全隐患揭露系统n 普通Scanner + AppExplore形成完整有效的新一代测评组合n 安全服务市场的主要切入点将会逐渐转向应用安全领域n 应用层的专业评估将在完整的安全解决方案中担任重要角色AppExplore定位：定位：AppExplore为谁服务？n 电子商务应用平台和形象宣传平台n 网上银行应用平台和形象宣传平台n 电子政府应用平台和形象宣传平台n 大中型企业网站应用和宣传平台n ISP/ASP客户增值评估服务工具系统n 第三方测评认证机构工具系统n 军方专用敌对网站打击渗透工具系统（直接打击功能为特别定制）n 其他任何具有应用层安全服务需求的客户群AppExplore思考的十大类安全问题APPLICATION BUFFER OVERFLOW 应用层缓冲区溢出（压力测试）应用层缓冲区溢出（压力测试）COOKIE POISONING cookie安全使用状况评估安全使用状况评估CROSS-SITE SCRIPTING 跨站脚本攻击风险评估跨站脚本攻击风险评估 HIDDEN MANIPULATION 页面隐藏参数域篡改风险评估页面隐藏参数域篡改风险评估 STEALTH COMMANDING 系统隐蔽指令执行风险评估系统隐蔽指令执行风险评估 3RD PARTY MISCONFIGURATION 第三方误配置安全隐患第三方误配置安全隐患 KNOWN VULNERABILITIES 各类型已知安全漏洞各类型已知安全漏洞 PARAMETER TAMPERING URL参数篡改攻击风险评估参数篡改攻击风险评估 BACKDOOR & DEBUG OPTIONS 后门程序和调试选项遗留隐患后门程序和调试选项遗留隐患 FORCEFUL BROWSING 网站内容强力浏览问题网站内容强力浏览问题应用安全方面的权威书籍 权威资料参考：Web Hacking: Attacks and Defense by Stuart McClure, Saumil Shah, Shreeraj ShahHacking Exposed (TM) Web Applications by Joel Scambray, Mike Shema 如果存在以上十大类问题，那么。1. 由于COOKIE中毒安全隐患，导致黑客可能实施身份伪装攻击；2. 由于隐藏字段信息篡改隐患，黑客可能实施电子欺骗；3. 由于URL参数、表单变量存在安全隐患，黑客因此可能进行系统指令执行、逻辑认证绕过、后台数据库攻击等；4. 由于应用程序缓冲区溢出隐患，黑客可能导致业务终止甚至获取非法权限；5. 由于跨站点脚本执行隐患，导致黑客可能实施不同程度基于信息泄漏的攻击；6. 由于第三方软件的错误设置和典型的已知安全隐患存在，导致不同类型的黑客入侵破坏；AppExplore面对的市场背景1.用户普遍还停留在FW+IDS层次的安全防护意识；2.国内用户对应用安全知识了解不够，对应用安全隐患和风险认识不够，在国外，应用安全专家已经开始就应用安全问题进行普及宣传；3.面对网络级和系统级安全，多数用户”亡羊补牢”，而应用级安全迫在眉睫，需要的是”未雨绸缪”；4.应用层隐患普遍存在，一旦爆发蠕虫式恶意攻击，将形成”NIMDA现象”； 这是一份来自台湾的调查统计：针对最为严重的SQL Injection漏洞的調查，由於國內九成以上網站皆使用SQL資料庫系統，因此，經警方測試，研判國內八成以上的網站已面臨資料隱碼攻擊方式的嚴重威脅。5. 整体上，安全编程意识的不足导致不安全的应用不断出现应用安全风险之应用层缓冲区溢出应用层缓冲区溢出 缓冲区溢出是一种很典型的软件漏洞，黑客通过输入超长的恶意参数，让缓冲区溢出是一种很典型的软件漏洞，黑客通过输入超长的恶意参数，让程序处理该参数时超过预设的缓冲区范围，导致难以预料的后果。此类漏程序处理该参数时超过预设的缓冲区范围，导致难以预料的后果。此类漏洞在洞在WebWeb应用程序中也时常出现应用程序中也时常出现 举例：对象是一个要求客户输入个人信息的页面。用户查看该页面的源代举例：对象是一个要求客户输入个人信息的页面。用户查看该页面的源代码后发现，码后发现，“company name”company name”字段的最大长度设为字段的最大长度设为3030（input type=“text” name=companyname ），这就可能意味着服务器端的这就可能意味着服务器端的CGICGI程序期望处理的最大字符串长度是程序期望处理的最大字符串长度是3030。如。如果恶意用户修改了这个值，比如改成果恶意用户修改了这个值，比如改成1000010000，然后在，然后在companynamecompanyname输输入字段中填充大量的字符，提交给入字段中填充大量的字符，提交给WebWeb服务器后，服务器后，CGICGI程序很可能发生缓程序很可能发生缓冲区溢出，冲区溢出，WebWeb服务器将发生难以预料的后果。服务器将发生难以预料的后果。 应用安全风险之应用层缓冲区溢出应用层缓冲区溢出 应用安全风险之应用层缓冲区溢出应用层缓冲区溢出应用安全风险之应用层缓冲区溢出应用层缓冲区溢出应用安全风险之应用层缓冲区溢出应用层缓冲区溢出应用安全风险之应用层缓冲区溢出应用层缓冲区溢出应用安全风险之cookie安全安全 传统的Web应用系统，为了支持面向用户的网页内容，通常都使用cookies机制在客户端主机上保存某些信息，例如用户ID、口令、时戳等。这些cookies可以用来维护Web访问会话迁移过程中的状态信息，使服务器可以识别前一个会话过程的用户。因为cookies通常是不经加密就保存在用户的桌面系统中，黑客能够很容易地篡改cookies内容，由此获取其他用户的账号，导致严重的后果。 举例：一个存在cookie毒害漏洞的例子。这是一个支持在线付费的网站。下面图例中，一个名为Abacarius的消费者（黑客？）登录网站，需要提交几笔付费项目。该网站是通过保存在客户端的cookie信息来识别登录用户的，而客户端cookie文件中保存的“abacarius”用户名只经过了简单的“加密”处理（将a变成z，b变成y，依此类推），即“zyzxzirfh”。黑客只需要替换掉这个字串内容，就可以冒名顶替其他用户进行付费操作了。 例如，将zyzxzirfh替换为qlsmhlm，也就是将abacarius用户更名为Johnson。应用安全风险之cookie中毒中毒应用安全风险之cookie中毒中毒应用安全风险之cookie中毒中毒应用安全风险之cookie中毒中毒应用安全风险之cookie中毒中毒应用安全风险之跨站脚本攻击跨站脚本攻击 跨站脚本（Cross-site scripting，CSS）是一种向其他Web用户浏览页面插入执行代码的方法。 Web服务器端应用程序要是接受客户端提交的表单信息而不加验证审核，黑客很可能在其中插入可执行脚本的代码，例如JavaScript、VBScript等，如果客户端提交的内容不经过滤地返回给任意访问该网站的客户端浏览器，其中嵌入的脚本代码就会以该Web服务器的可信级别被客户端浏览器执行，这就是CSS漏洞的问题所在。 存在这种漏洞的最典型的例子，就是某些网络论坛，这些BBS会向客户端返回其他用户之前输入的内容，许多搜索引擎网站也存在此类问题。 收到这些嵌入恶意代码内容的客户端浏览器，如果信任内容来源网站，恶意代码就可能在客户端主机执行。 应用安全风险之跨站脚本攻击跨站脚本攻击跨站脚本漏洞的本质还在于Web应用程序没有对客户端输入进行严格校验。黑客利用此类漏洞，可能实施的攻击操作包括：窃取用户COOKIE，伪造身份；伪造网页内容；客户端拒绝服务攻击和恶性病毒传播；执行系统命令 高级黑客入侵技术；等。应用安全风险之跨站脚本攻击跨站脚本攻击某个恶意用户就某个严重问题草拟报告如下正常内容大家好啊。img src=http:/ width=“10” height=“10”应用安全风险之跨站脚本攻击跨站脚本攻击http:/ 参考：参考：以上所贴的http:/ 应用安全风险之操纵页面隐藏字段操纵页面隐藏字段 隐藏字段即HTML表单中hidden类型的字段。 Web系统本身是无状态的，为了维持客户端/服务器之间的会话状态，Web应用系统最简单也最普遍采用的方法就是用隐藏字段存储信息。但是，隐藏字段并非真正隐藏，它仅仅是不显示给用户而已，提供给客户端的静态页面源码中就保存有隐藏字段的真实内容。许多基于Web的电子商务应用程序用隐藏字段来存储商品价格、用户名、密码等敏感内容，客户端浏览器只要用View Source命令就可以查看其真实的内容。例如： 心存恶意的用户，用浏览器简单地保存HTML页面源代码，修改隐藏字段内容，重新提交给服务器端，Web服务器如果不对这种改变做进一步验证，就很容易用新的伪造的信息处理交易，这是一种非常危险的漏洞。应用安全风险之操纵页面隐藏字段操纵页面隐藏字段在技术上使用隐藏字段来存储商品价格、用户名、密码等敏感内容，客户端浏览器只要用“View Source”命令就可以查看其真实的内容。应用安全风险之操纵页面隐藏字段操纵页面隐藏字段应用安全风险之操纵页面隐藏字段操纵页面隐藏字段修改修改Value=“1.95”，重新提交给服务器端处理，重新提交给服务器端处理应用安全风险之操纵页面隐藏字段操纵页面隐藏字段Web服务端服务端CGI如果不对这种改变做进一步验证，如果不对这种改变做进一步验证，就很容易用新的伪造的信息处理交易。就很容易用新的伪造的信息处理交易。购物车CGI接受你以$1.95的价格购买$129.95的商品应用安全风险之隐蔽指令执行隐蔽指令执行 （主要是指Unix服务器）服务器端include通过从本地硬盘驱动器中调用文档或其它对象，然后将这些元素自动包含在Web页面中。 例如：#exec cmd= “ rm rf * ” 这个看起来象SSI,假如这条SSI成功执行且HTTPD正在根下运行，则删除的将是整个驱动器。大多数站点禁止使用SSI. 举例：入侵者在本该填写Street Address的可输入区域填写敏感文件查看指令 入侵者聪明地驱使WEB SERVER把SSL key文件附加显示到网页上，从而可让自己成功扮演服务器角色搜集各种客户重要信息应用安全风险之隐蔽指令执行隐蔽指令执行应用安全风险之隐蔽指令执行隐蔽指令执行 应用安全风险之隐蔽指令执行隐蔽指令执行入侵者驱使WEB 服务器把SSL key文件附加显示到网页上，从而可让自己成功扮演服务器角色搜集各种客户重要信息应用安全风险之已知安全漏洞已知安全漏洞 许多操作系统及第三方应用软件（包括Web服务器和数据库服务器）都存在一些已知漏洞，如果管理员不及时安装已经发布了的软件补丁，这些漏洞就很可能被黑客利用。 因为黑客只需要用简单的漏洞扫描器和大量的漏洞披漏网站就可以知道该怎样实施攻击了。其实，许多已知漏洞都可以归类到前面介绍的几种典型漏洞当中 举例：IIS服务器的ASP Alternate Data Streams漏洞，只要在ASP文件名后加上“:$DATA”后缀，就可以看到ASP文件源代码，这个漏洞就属于典型的CGI参数欺骗类型。 而另一个此类漏洞IIS Unicode漏洞，则可以让黑客查看敏感信息，执行系统命令，进行文件操作，后果将是非常严重的。 http:/ http:/www/_vti_bin/.%255c.%255cwinnt/system32/cmd.exe?/c+dir+c: 应用安全风险之已知安全漏洞已知安全漏洞应用安全风险之已知安全漏洞已知安全漏洞应用安全风险之已知安全漏洞已知安全漏洞应用安全风险之已知安全漏洞已知安全漏洞应用安全风险之后门程序和调试选项遗留后门程序和调试选项遗留 在程序开发期间，程序员通常都会在代码中加入一些调试选项或功能，这是供程序测试使用的。不过，种种原因，这些调试功能往往会在软件的最终正式版中得以保留，这就给黑客或恶意程序员提供了极大的方便。通过激活这些调试选项，黑客可以进行某些特别的操作。 除了调试功能，程序中有时候还保留一些后门机制，例如让开发人员直接进行正常情况下应该禁止的操作，或者是不提供口令进行登录，或者可以直接访问某个特殊的URL，这也给黑客提供了方便之门。 举例：一个网上银行客户帐务管理接口程序，客户可以方面通过CGI程序进行各类帐务操作，但是，为方便引擎开发者在线调试和开发，后台引擎留下debug类操作后门,开发者或者是黑客可以通过向后台CGI传递debug=on相关指令来越权控制任何客户个人信息 http:/ 应用安全风险之后门程序和调试选项遗留后门程序和调试选项遗留应用安全风险之后门程序和调试选项遗留后门程序和调试选项遗留应用安全风险之后门程序和调试选项遗留后门程序和调试选项遗留应用安全风险之强力浏览问题强力浏览问题 存在这类型安全问题的网站通常采用某种技术方式来存储敏感文件，如：采用系统临时文件的方式来存储本该保密的用户资料，但是恶意入侵者通过对服务器返回给客户端浏览器的HTML源程序进行阅读和分析，将通过重组URL连接的方式直接获得这类敏感文件的访问权。 举例：这是一个为儿童提供游戏娱乐和教育的网站，每个儿童都注册了自己的详细个人资料，如家庭住址，父母背景等，网站管理员把资料文件存放在服务器上，没有提供直接的访问路经。但是，在网站某处的HTML源代码中，却留有一段写在注释中的信息 - /private/kids.cvs 任何人都可以轻易阅读到保密的kids.cvs 应用安全风险之强力浏览问题强力浏览问题应用安全知识之强力浏览问题强力浏览问题应用安全风险之强力浏览问题强力浏览问题应用安全风险之参数篡改攻击参数篡改攻击 如果Web应用程序没有对客户端提交的参数进行严格校验，就有可能对客户端参数中包含的某些特殊内容进行不适当的处理，导致难以预料的后果。这类漏洞最常见于那些应用了SQL数据库后端的Web服务器，黑客通过向提交给CGI程序的参数中“注射”某些特殊SQL语句，最终可能获取、篡改、控制Web服务器端数据库中的内容。, 当然，此类漏洞的另一种后果，就是泄漏某些敏感信息，许多Web服务器及应用系统都曾经披漏过此类问题。利用此类编程漏洞执行系统指令也是常用的入侵方式。 举例：(1) 逻辑认证绕过 (2) 利用错误信息取得资料表内各栏位的资料形态 应用安全风险之参数篡改攻击参数篡改攻击普通客户提交正常要求helloworld7777-8888-Aaaaaaaaaaaaa-bbbbbbbbbbbbb不怀好意者在此栏提交各种测试代码，如 “ ”应用安全风险之参数篡改攻击参数篡改攻击应用安全风险之参数篡改攻击参数篡改攻击,) select 123 -test111-xxxx.xxxx.xxx.xxxx应用安全风险之参数篡改攻击参数篡改攻击AppExplore评估该类型的报告显示：SQL INJECTION攻击之简单符号匹配2模式测试类似于new.asp?id=255通常asp脚本程序访问SQL数据库的写法是SELECT * FROM newstable WHERE ID = valueAsp脚本程序员没有对value进行单引号等特殊符号校验，导致入侵者可以在value后面构造自定义的复杂SQL指令通过asp脚本程序传递给后台数据库执行，入侵者的操作权限等同于asp脚本程序访问数据库对应的数据库账号映射到系统账号的权限！如果asp脚本程序调用的是sysadmin组的用户，将导致入侵者可以直接使用localsystem账号执行系统命令；例如:news.asp?id=255 exec master.dbo.xp_cmdshell “net user tmpuser /add” -news.asp?id=255 exec master.dbo.xp_cmdshell “net localgroup administrators tmpuser /add” -临时解决办法:对于所有用户提交的数据进行基本的特殊字符前台过滤和屏蔽；采用Replace(value,“ ,“ “ )等方法防治入侵者的指令从字符串跳出演变成为具有危害性的SQL指令。 产品化特点n 专家介绍n 公司简介n RealSOI AppExplore &APP Securityn 产品化特点n 典型案例n 总结小投入、大作用小投入、大作用Anitsolution 2000论安全体系的完整性“AppExplore系列产品对整个网站应用平台的安全健康状况层次化的表示，使得安全管理员和评测员能切实看到网站的应用安全全貌和黑客入侵威胁点并作出正确响应，真正做到未雨绸缪.”极大降低应用安全服务成本n 24小时/2位应用安全专家手工评测成果 小于等于 20分钟/AppExplore+一名普通操作人员的评测效果n 基于定制策略的定时评估，网段评估n 公正的“黑箱子测试” 使得程序员和系统安全分析员一目了然地知晓故障点和排除故障最简便的方法n 评估结果报告将直接告诉用户“哪个文件的哪个参数出了问题，是什么类型的问题？ ”产品整体特点n网站应用结构图分析功能： 立足于网站系统应用的安全规划，多种手段相结合，完整而详细的分析出目标网站的目录结构和文件关系。n应用安全隐患分析功能： 分析来自网站结构图中的每一个网站功能脚本程序的应用状况，借助于专用的知识数据库，针对所有可能为黑客所利用的入侵项目进行多样化多层次的探测和分析。最终得到真正对管理者做出决策有实质性帮助的安全隐患报告。 分析过程支持交互式策略和全自动策略；支持代理(proxy)扫描； SSL和客户端认证支持； 本评估系统广泛支持各种常见应用系统或者引擎语言： ASP, PHP, ColdFusion, Lotus Domino,BEA WebLogic, Perl,Netscape Java ServletPages等产品整体特点n基于国际标准和行业规范的风险报告功能： 形成通俗易懂的风险说明报告。图文并茂地展现出漏洞表、威胁表、风险比率图等报告，显示详细安全隐患来源和背景。使得使用该产品的人员能够在不断掌握新安全知识的情况下来抵御应用层黑客的入侵。n稳定快捷的在线升级功能： 简单方便的网络在线升级功能，将不断的更新升级最新的专用知识数据库。独特的预警模式，将第一时间提醒您关注最新的安全风险。 n反盗版和反破解设计： 避免该系列产品不会被未授权非法使用。严格的认证和授权-规避滥用安装序列号认证安装序列号认证基于硬件序列种子的基于硬件序列种子的网络认证网络认证管理员口令认证管理员口令认证直观的界面-主界面直观的界面-安全浏览器直观的界面-综合报告界面其它关键界面一览其它关键界面一览其它关键界面一览典型案例n 专家介绍n 公司简介n RealSOI AppExplore &APP Securityn 产品化特点n 典型案例n 总结典型案例1n 使用REALSOI AppExplore来加强安全策略，从可操作化角度进一步满足GB18336的标准要求n AppExplore能穿越多个入侵监测系统、防火墙，从电子政务网上应用的前端系统一直渗透评估到后台数据库系统n 自从使用AppExplore系统进行全面评估之后，暴露了不计其数的此前根本没有关注的致命隐患n 经过配套的安全编程知识强化培训，电子政务建设者普遍对应用安全的解决方案有了深刻理解，同时也对电子政务更加充满信心电子政务全国性网上政府公开网站安全大检阅：电子政务全国性网上政府公开网站安全大检阅：“自从开始使用REALSOI AppExplore评估系统, 电子政务应用平台有了一个强大的已知漏洞和未知漏洞的发掘机.”典型案例2n 能以很小的投入对多个大型企业客户的网站系统进行完整的应用安全评估，能较为彻底地发掘企业网站应用可能出现的已知和未知隐患，找出可能被应用型蠕虫利用的环节，阻止蠕虫n 为重要客户组织技术讲座，重点培训应用安全知识，整体提升客户安全编码的意识和能力ISPISP为客户提供安全加固增值服务，用于提前评估客户网站应用系统安为客户提供安全加固增值服务，用于提前评估客户网站应用系统安全指数，阻止即将蔓延的应用型蠕虫：全指数，阻止即将蔓延的应用型蠕虫：“如果没有REALSOI AppExplore对诸多网站应用节点的全面评估, 我们为客户提供的安全防御体系的整个投入不能算是完整的.”总结n 专家介绍n 公司简介n RealSOI AppExplore &APP Securityn 产品化特点n 典型案例n 总结正确的方向关注应用安全n专注应用安全n设计思路的选择 扮演出色的应用层未知安全漏洞发掘机的角色 扮演应用层安全“黑箱子”测试平台的角色 n填补国内空白开发难度大攻关突破 核心技术为“智能探索”（SmartExplore），其特点在于能够分析并且学习每一个WEB应用的独特的个性，通过组合变化各种已知及未知、应用程序特有及普遍存在的漏洞之黑客攻击特征，测试并验证目标系统的脆弱性。 实现难点一：要求能够高效稳定地处理各种复杂WEB页面并且识别不同应用的独特个性。 实现难点二：根据不同应用的个性，动态地对应用嵌入经过组合的应用层黑客攻击特征，并统计分析得出评估定论，以此测试和验证目标系统的应用安全脆弱性。 其它难点：大量应用安全攻防技术尤其是黑客应用层攻击渗透技术的评估和研究方法论建立我们的领先地位n 成功的实施建立在有组织的高效的评估体系基础上n 客户可以很快地很直接地看到由评估结果带来的价值: 应用维护人员可以转做关键的任务 更快地评估新进入网站的各项功能和内容，并更有效地响应 更多高质量的应用安全培训 “很多安全服务提供商也尝试过他们的评估方案，但是失败了！”RealSOI和Anitsolution联手在两个月中实施了超过20个企业和组织我们的成功经历继续完善n后续需要大量的人力、物力投入n急待完善n产品系列化我们的客户金融业/网上银行 Cmbchina China Bank The Peoples Bank Of CHINA China Construction Bank Bank Of Shanghai Shanghai Pudong Development Bank China Minsheng Banking Bank Of Communications电子政府 EGOVSTD ECHINAGOV ChinaEG Beijing-China BJRD我们的客户电信China TelecomDTTBTA服务提供商CHINA PUTIAN制造业SonyThanks!Q&A