InfoQ

InfoQ

InfoQ

En | 中文 | 日本語 | Br

4月124,948独立访问用户

新闻

我的书签

登录注册 以永久保存书签。

该内容已经被标记书签!

标记书签错误,请重试!

百度技术沙龙第3期回顾:Web安全经验分享(含演示文档下载)

作者 刘申 发布于 2010年7月1日

领域
企业架构,
运维 & 基础架构,
过程 & 实践,
架构 & 设计,
语言 & 开发
主题
Ruby ,
Java ,
Web服务 ,
动态语言 ,
代码分析 ,
业务流程管理 ,
语言 ,
SOA ,
.NET ,
运维 ,
商业 ,
调试 ,
架构 ,
敏捷 ,
安全 ,
编程 ,
系统监测 ,
企业架构 ,
互联网 ,
性能和扩展性 ,
QClub ,
测试 ,
故障解决
分享到

当前,Web安全威胁愈演愈烈,对于用户而言Web安全即是一场灾难,然而对于互联网公司而言Web安全则是很大的挑战。那么在威胁不断加重的Web安全面前,我们应该如何应对?

在6月份的QClub活动暨百度技术沙龙第三期(6月26日)上,InfoQ中文站很荣幸邀请到百度的方小顿以及淘宝的张玉东与大家分享“互联网公司web安全挑战与防护思路浅谈 ”以及“互联网公司推行SDL(Security Development Lifecycle)的经验和教训”两个话题。本文将对他们的演讲内容/本次活动进行一下简单的总结,并为大家提供了演示文档的下载

Web安全带来的挑战

第一个演讲是由百度的方小顿带来的,他主要介绍了互联网公司的Web安全挑战,并分别从攻击者和防护者的角度对Web安全进行剖析,其中结合了百度在这方面的经验和心得。包括以下内容点:

  • Web应用的发展历程
    • 过去、现在、将来,找清楚自己的位置
  • 互联网公司Web安全的挑战
    • 什么是Web安全
    • 成百上千的Web应用
    • 成千上万的服务器
    • 开发者与维护者安全意识参差不齐
    • 承受可能来自整个internet的攻击尝试
  • 站在攻击者的角度
    • 了解目标公司的网络分布
    • 了解目标网络里的应用分布
    • 深入了解目标网络
    • 尝试网络应用里的各种漏洞
    • 攻击Web应用
    • 由点入面攻击网络
  • 站在防护者的角度
    • 问自己几个问题
    • 做好运维管理、上下线流程、日志管理
    • 端口扫描、应用级扫描、应用程序分析
    • 建立网络应用数据库
    • 分析数据库、常见安全漏洞
    • 应用程序监控
    • 做的更多、看得更远

针对大请求,多应用的状况,如何来进行监控,毛小顿强调:

对单一应用或者应用不多的情况下,不建议通过监控的方式来分析,因为大多可能都是单一的post请求,分析起来,没有什么意义。所以,针对这种情况,我们更倾向用其他方式来解决,比如测试、SDL等方式来解决。

在互联网公司推行SDL

SDL(Security Development Lifecycle)在传统软件行业已经日趋成熟,但是在互联网公司中还是一个比较新鲜的概念。淘宝技术保障部技术安全主管张玉东(黄眉)从传统软件行业推行SDL和在互联网公司的区别入手,阐述在互联网公司推行SDL所面临的挑战,分享了他们在推行SDL过程中积累的一些经验教训,内容主要包括:

  • SDL的简介
  • 与传统软件行业SDL的区别
  • 为什么需要SDL
  • 威胁建模(方法)
  • 推行SDL的困难、挑战和经验

要想推行SDL,沟通是非常重要的,张玉东强调:

这个沟通会涉及到很多方面,比如说,要与所有的开发业务线、产品业务线,这些部门中的负责人达成共识,让他们对SDL认可,这样才能从上往下的去推进。另外一点是,这个流程是不是被大家所接受,也需要沟通。不是说,定一个流程,让大家去做,就可以了。要把这个流程,拿出来,放在大家面前,让大家去PK,提出这个流程会有什么问题,不断的去完善它。最后大家统一了、认可了,就很容易去搞了。

实施SDL必然会增加研发成本,有读者问道,对于小公司,它是否适宜。张玉东解释到:

对于小公司,我的建议是,因为人力成本有限,另外,也不可能做得像大公司那么的标准化,这不单单是安全投入上的成本,流程本身也会增加成本。小公司的开发是很讲究效率的,所以,更应该从技术角度去解决问题,比如增加安全测试、上线之后增加安全扫描和安全监控,这样会比较实用和现实一些,如果想在前期需求和设计阶段,就介入的话,难度会比较大。

本次活动两个演讲的完整视频,稍后就会发布在InfoQ中文站上,敬请期待。

演讲资料下载

本次百度技术沙龙的演讲资料现在已经可以下载

相关内容

百度技术沙龙(第2期)活动总结演讲资料下载视频演讲1视频演讲2

百度技术沙龙(第1期)活动总结演讲资料下载视频演讲1视频演讲2

刘申 在08年毕业于哈工大,管理科学与工程硕士。对Web前端开发、Ruby、RoR以及极限编程十分感兴趣。

相关厂商内容

保持某些系统的高可用性,是一些企业的重中之重,如何设计?

海量数据处理,海量视频分发,架构热点难点,尽在架构师峰会!

相关赞助商

ArchSummit全球架构师峰会报名启动!7折优惠,5月31日截止!

10 条回复

关注此讨论 回复

压缩包解压后文件名乱码 发表人 徐 泳 发表于
Re: 压缩包解压后文件名乱码 发表人 wang aaron 发表于
Re: 压缩包解压后文件名乱码 发表人 ch l 发表于
Re: 压缩包解压后文件名乱码 发表人 公英 蒲 发表于
Re: 压缩包解压后文件名乱码 发表人 刘 申 发表于
Re: 压缩包解压后文件名乱码 发表人 罗 寿 发表于
麻烦尽快解决乱码问题 发表人 张 涛 发表于
Re: 麻烦尽快解决乱码问题 发表人 张 涛 发表于
没看到下载地址 发表人 lxf Lee 发表于
Re: 没看到下载地址 发表人 li dezhen 发表于
按日期倒序排列

  1. 返回顶部

    压缩包解压后文件名乱码

    发表人 徐 泳

    导致不能直接解压。

    回复

  2. 返回顶部

    Re: 压缩包解压后文件名乱码

    发表人 wang aaron

    是不是UNICODE的问题?在中文系统上生成的压缩包(unicode=chinese),在英文系统上都是乱码(unicode=english)

    回复

  3. 返回顶部

    Re: 压缩包解压后文件名乱码

    发表人 ch l

    infoq做的太垃圾了,又是乱码,下载又不能解压,有时候视频文件还没发播放,一点技术含量都没有。

    回复

  4. 返回顶部

    Re: 压缩包解压后文件名乱码

    发表人 公英 蒲

    infoq最大的价值不在于他站点的技术含量,而在于他发布的信息咨询。感谢infoq!

    回复

  5. 返回顶部

    麻烦尽快解决乱码问题

    发表人 张 涛

    希望能尽快下载到资料,TKS

    回复

  6. 返回顶部

    Re: 麻烦尽快解决乱码问题

    发表人 张 涛

    朋友们,刚发现手动重命名下乱码文件名就可以解压缩了。

    回复

  7. 返回顶部

    Re: 压缩包解压后文件名乱码

    发表人 刘 申

    稍后再试,就应该OK了,已经替换了下载的压缩包~

    回复

  8. 返回顶部

    Re: 压缩包解压后文件名乱码

    发表人 罗 寿

    哪里<下载>?</下载>

    回复

  9. 返回顶部

    没看到下载地址

    发表人 lxf Lee

    我也没看到下载地址啊

    回复

  10. 返回顶部

    Re: 没看到下载地址

    发表人 li dezhen

    我也没看到地址

    回复