天融信助力第三屆信息安全漏洞大會
【51CTO.com 綜合消息】10月18日至20日,由中國信息安全測評中心主辦的第三屆信息安全漏洞分析與風險評估大會在黃山召開。來自國家信息安全主管部門、國家基礎信息網絡和重要信息系統行業單位、網絡與信息安全科研機構、產業機構等200多名專家學者出席了大會。天融信公司研發部總監姚崎率隊參加本次大會。大會設有漏洞分析、風險評估和應用實踐3個分會場,圍繞信息安全漏洞分析與風險評估領域的一系列熱點問題進行廣泛交流與非常專業深入的探討。
本次大會上,天融信攻防研究員代表天融信攻防實驗室 攻防研究員徐少培代表天融信公司作了題為"基于ClickJacking模式的Web攻擊與防御"的主題演講。報告指出,隨著WEB2.0的出現,以及HTML5的發展,很多應用操作都已經向WEB上移植,使基于WEB上的攻擊層出不窮,信息安全也開始過渡到以Web環境為基礎、Web應用為載體的新時代。Clickjacking攻擊是最近2年才出現的一種基于視覺欺騙的WEB攻擊方法,目前其已經演化為"點擊劫持"、"拖放劫持"和"觸屏劫持"等三種主流攻擊技術,能夠對使用個人電腦和最新移動智能移動終端設備上網瀏覽網頁的用戶進行攻擊。攻防徐少培研究員在演講中詳細介紹了各種Clickjacking攻擊的技術原理,并現場演示了針對某國際大型網站和IPAD移動終端的攻擊示例;隨后給出了基于X-Frame-Options和Frame Busting兩種對Clickjacking進行防御的技術手段。
同時,天融信攻防徐少培研究員指出,并不是說有了防御方法,這種攻擊就會消失。目前瀏覽器對X-Frame-Options的支持還沒有完全普及,而Frame Busting的使用率極低, Alexa前500最受歡迎網站中,也只有14%的網站裝有"破壞框"代碼。移動設備上的WEB安全防御,更容易被人們疏忽。最后,他介紹了天融信攻防實驗室在WEB攻擊與防御領域內的最新研究成果。演講收到了與會專家和業內同行的一致好評。
此外,本次大會對2009-2010年度對國家漏洞庫(CNNVD)建設作出突出貢獻的十余家單位進行了表彰,天融信公司由于向國家漏洞庫提交多個高風險等級的安全漏洞而榮獲獎勵。
通過本次大會,從一個側面代表了天融信信息安全漏洞研究和風險評估領域內具有深厚的研究實力,特別是在WEB攻擊與防御技術研究方向上處于國內領先水平。這充分證明天融信公司能夠為政府部門、國家基礎信息網絡和重要信息系統行業單位等客戶提供一流的安全產品和安全服務。
【編輯推薦】
