OWASP APPSec亚洲年会在台北盛大召开
OWASP APPSec 年会上周在台北国际会议中心召开, 这次会议吸引了1000人左右的Web安全爱好者和管理员参加, 除了ClickJacking很多议题包括malware的检测, 商务深度的渗透测试, 黑盒子防护, 黑盒白盒的互补等, 都引起很大兴趣. 也反映了应用安全的热度.
著名web安全专家Robert(RSnake, ha.ckers.org创始人)首次展示了点击截击地巨大危害. 在一个月前本来想要在拉斯维加斯黑帽子大会上发表的他, 由于危害巨大而被大会禁止发布, 这次在web安全最具权威的亚洲OWASP APPSEC上发布, 也算是名正言顺.
点击截击的最基本的描述和原理可以概括为当你点击某你认为安全和正常链接的时候, 其实实际上已经点击了黑客所希望你点击的, 这个链接有可能是同一个页面, 也有可能是不同的网站, 比如可能是允许flash具有完全读写权力, 或者可能是你卖掉你的股票, 或者可能是登陆你某个银行账户, 后者是自动把你的电脑的camera打开…
除了ppt, 他还演示了很多录像, 来实际证明点击截击的危害. (录像地址: www.dbappSecurity.com.cn/video/owasp-asia/index.html )
关于点击截击的防范, 期待浏览器出一些补丁是不现实的, 如果是用Firefox推荐采用noscript (https://addons.mozilla.org/zh-CN/firefox/addon/722), 笔者用了一段时间感觉还行. 另外, Flash等应该升级到最新版本, 那是不用说的.
除了Clickjacking外, 关于恶意代码检测以及渗透测试的商务逻辑检测, web防火墙等方面, 都有些有意思的话题. 此外, 这次亚洲各国的OWASP分会都进行了聚会和交流, 也是比较有收获. 总之, 过去路途虽然小有曲折, 但是还是很值得.
另外, 如果你还不知道, OWASP 中国区网址已经开通:
姓名:Chinadu
近期评论