保障Web应用安全：IBM深度解析与实践案例

在"保护好您的Web应用——IBM应用安全测试案例分享"的PPT中，高级技术顾问李剑波，来自IBM中国有限公司软件部的Rational团队，深入探讨了Web应用安全的重要性以及面临的挑战。该演讲分为几个关键部分： 1. **Web应用安全现状介绍**：首先，李剑波阐述了当前Web应用所面临的安全威胁，包括不断演进的攻击技术，如端口扫描、DoS攻击、抗欺骗（anti-spoofing）等。他提到了一些常见的问题，比如已知的Web服务器问题，例如SQL注入、跨站脚本（XSS）攻击、参数篡改和Cookie中毒。 2. **IBM构建应用安全测试方法**：IBM针对这些威胁，分享了其在构建应用安全测试方面的实践，强调了基于模式的攻击检测策略，以及如何防范如SQL注入、跨站脚本漏洞。此外，他还讨论了对Web服务的攻击，如SOAP数组溢出和XML解析器拒绝服务（XML-parser DoS），以及暴露的应用逻辑风险，如WSDL泄露和不安全的API集成（Mashups）。 3. **Web2.0时代的新型威胁**：随着Web2.0的发展，攻击者利用新的平台和工具，如JavaScript注入、MySpace蠕虫（如Samy）和输入验证问题，展示了Web2.0攻击的新颖性和复杂性。这些攻击可能涉及对基础设施（Web服务器、应用服务器、操作系统）的直接攻击，以及针对Web服务和应用程序的特定漏洞。 4. **防御措施**：为了保护Web应用，李剑波还介绍了各种安全防护机制，如访问控制、防火墙、入侵检测系统（IDS）/入侵预防系统（IPS）、应用防火墙、SSL加密、防病毒软件等。他还提到了2006年的一个著名案例，展示了SQL注入攻击的严重性，如Union select攻击，导致用户数据的敏感信息泄露。 5. **总结与建议**：演讲最后，李剑波总结了关键点，强调了企业应该定期进行安全评估，实施全面的安全策略，并持续关注新技术带来的新威胁，以便及时调整和升级安全措施。 通过这次分享，听众可以了解到当前Web应用安全的严峻形势，以及如何借助IBM的专业知识和技术来提升应用安全防护水平，确保业务的稳定和数据的保密性。