WebApp 安全風險與防禦（系列一）

講師資料：Carl（陳慶），葡萄城高級架構師、葡萄城技術公開課講師。擁有15年項目開發經驗，專一於產品架構、編程技術等領域，對網絡安全有着獨到看法，曾擔任微軟TechEd講師，樂於研究各類前沿技術並分享。

2018 網絡安全事故頻發，從數據泄露、信息竊取，到 DDOS 攻擊、勒索病毒，不只威脅的總數在增長，威脅態勢也變得更加多樣化，攻擊者在不斷開發新的攻擊途徑的同時，也盡力在攻擊過程當中掩蓋其蹤影，使網絡安全防禦變得愈加棘手。

將來是萬物互聯的時代，惟有把握住網絡信息安全，才能避免被降維打擊。本場Chat，咱們特邀Carl做爲分享嘉賓，於葡萄城技術公開課上，以 WebApp 安全防禦爲出發點，帶你瞭解更多意想不到的安全防禦措施與黑客攻擊手段，助你提升網絡安全意識，最終學會如何規避風險隱患，避免遭受網絡安全攻擊。歡迎你們掃描下圖二維碼，預定報名參加。

直播地址：live.vhall.com/137416596

下面開始展開正文。

第一節：開闊眼界 – 提高安全意識

提高網絡安全意識對項目團隊中的每個角色、每個流程都相當重要。同時，也只有具有了網絡安全意識，才願意爲數據安全投入更多的時間和精力。下面，我將爲您展現部分2018年發生的網絡安全事故，這些事故形成的損失，也許遠遠超出你的想象。

2018 網絡安全事故回顧

Facebook數據泄露事件：2018年9月，Facebook因安全系統漏洞而遭受黑客攻擊，致使約5000萬用戶信息泄露。

上市公司數據堂，涉嫌侵犯數百億條公民我的信息：大數據行業知名企業數據堂在短短8個月的時間內，日均泄露公民我的信息1.3億餘條，累計傳輸數據壓縮後約爲4000GB。

圓通10億快遞信息泄露： 10億條用戶數據遭公開售賣，這些數據包括寄（收）件人姓名、電話、地址等隱私信息。

萬豪酒店5億用戶開房信息泄露：萬豪酒店客房預訂數據庫遭黑客入侵，約5億名客戶的信息可能被泄露。

更多數據泄露事件

1. 國泰航空數據泄露，940萬乘客受影響

2. MongoDB 數據庫被入侵， 1100 萬份郵件記錄遭泄露

3. SHEIN 數據泄露影響 642 萬用戶

4. GovPayNet憑證系統存在漏洞，1400萬交易記錄被曝光

5. 小米有品平臺泄露我的隱私 約2000萬用戶數據遭泄露

6. …

勒索病毒事件

1. 美國亞特蘭大市政府受到勒索軟件攻擊

2. 美國巴爾的摩市遭遇勒索軟件攻擊，致使911緊急調度服務的計算機輔助調度(CAD)功能掉線

3. 臺積電勒索病毒事件，約形成17.6 億元的營收損失，股票市值下跌78億

4. 不少我的電腦和中小網站都曾遭受攻擊

DDoS 攻擊

1. 平昌冬奧會開幕式服務器遭到身份不明的黑客入侵

2. GitHub遭1.35T級流量攻擊

年度重大漏洞盤點

1. CPU數據緩存機制漏洞

2. iOS 平臺WebView組件漏洞（UIWebView/ WKWebView）跨域訪問漏洞（CNNVD-201801-515）

3. Oracle WebLogic Server WLS核心組件遠程代碼執行漏洞

4. 微信支付SDKXXE漏洞

5. Apache Struts2 S2-057安全漏洞

第二節：知己知彼 – 黑客如何攻擊系統

一名黑客攻擊網站的典型步驟，主要分爲如下5步：

1. 信息收集和漏洞掃描

2. 漏洞利用

3. 上傳木馬

4. 獲取服務器的控制權

5. 清理痕跡

總結：

黑客不是手動測試系統漏洞的，而是有不少強大的工具能夠自動化完成

黑客不是利用系統中的一個漏洞，而是要利用一系列，不一樣層次的漏洞

黑客常常批量攻擊一系列網站，選取其中漏洞較多，較好利用的重點突破

第三節：十大安全風險（OWASP Top 10）

不安全的軟件正在破壞着咱們的金融、醫療、國防、能源和其餘重要的基礎設施。隨着咱們的軟件變得越發龐大、複雜且相互關聯，實現應用程序安全的難度也呈指數級增加。而現代軟件開發過程的飛速發展，使得快速、準確地識別軟件安全風險變得愈發的重要，OWASP 組織也所以誕生。

OWASP，即開放式Web應用程序安全項目（Open Web Application Security Project），做爲一個開源的、非盈利的全球性安全組織，它提供了有關計算機和互聯網應用程序的公正、實際、有成本效益的信息，其目的是協助我的、企業和機構來發現並使用可信賴的軟件。

OWASP Top 10是由OWASP組織公佈，最具權威性的「10項最嚴重的Web應用程序安全風險預警」，其就安全問題從威脅性和脆弱性兩方面進行可能性分析，並結合技術和商業影響的分析結果，輸出公認的、最嚴重的十類Web應用安全風險排名。OWASP Top 10旨在針對上述風險，提出解決方案，幫助IT公司和開發團隊規範應用程序開發流程和測試流程，提升Web產品的安全性。

OWASP敦促全部公司在其組織內採用OWASP Top 10文檔，並確保其Web應用程序最大限度地下降這些風險，採用OWASP Top 10多是將企業內的軟件開發文化轉變爲生成安全代碼文化最行之有效的一步。

OWASP Top 10包括：

1. 注入

2. 失效的身份認證

3. 敏感信息泄露

4. XML外部實體（XXE）

5. 失效的訪問控制

6. 安全配置錯誤

7. 跨站腳本（XSS）

8. 不安全的反序列化

9. 使用含有已知漏洞的組件

10. 不足的日誌記錄和監控

以上即是從本次Chat——「WebApp 安全風險與防禦（系列一）」中截取的部份內容，下一期將詳細介紹OWASP Top 10及其應對策略。

更多關於 WebApp 安全風險防禦手段及葡萄城安全架構中的實踐分享，將在葡萄城系列公開課「WebApp 安全風險與防禦」中，由Carl親自講解，誠邀您學習觀看。

公開課地址：live.vhall.com/137416596

公開課時間：2019/6/26 （週三）16:00 PM

錯過本場直播？不要緊，全部直播內容咱們會存放在葡萄城公開課頁面，便於您隨時觀看、學習。

「賦能開發者」葡萄城除了爲全部開發人員提供免費的開發技巧分享、項目實戰經驗外，還提供了衆多高水準、高品質的開發工具和開發者解決方案，可有效幫助開發人員提升效率，縮短項目週期，使開發人員能更專一於業務邏輯，順利完成高質量的項目交付，歡迎您深刻了解。