【51CTO.com 綜合消息】10月18日至20日，由中國(guó)信息安全測(cè)評(píng)中心主辦的第三屆信息安全漏洞分析與風(fēng)險(xiǎn)評(píng)估大會(huì)在黃山召開。來(lái)自國(guó)家信息安全主管部門、國(guó)家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)行業(yè)單位、網(wǎng)絡(luò)與信息安全科研機(jī)構(gòu)、產(chǎn)業(yè)機(jī)構(gòu)等200多名專家學(xué)者出席了大會(huì)。天融信公司研發(fā)部總監(jiān)姚崎率隊(duì)參加本次大會(huì)。大會(huì)設(shè)有漏洞分析、風(fēng)險(xiǎn)評(píng)估和應(yīng)用實(shí)踐3個(gè)分會(huì)場(chǎng)，圍繞信息安全漏洞分析與風(fēng)險(xiǎn)評(píng)估領(lǐng)域的一系列熱點(diǎn)問(wèn)題進(jìn)行廣泛交流與非常專業(yè)深入的探討。

本次大會(huì)上，天融信攻防研究員代表天融信攻防實(shí)驗(yàn)室 攻防研究員徐少培代表天融信公司作了題為"基于ClickJacking模式的Web攻擊與防御"的主題演講。報(bào)告指出，隨著WEB2.0的出現(xiàn)，以及HTML5的發(fā)展，很多應(yīng)用操作都已經(jīng)向WEB上移植，使基于WEB上的攻擊層出不窮，信息安全也開始過(guò)渡到以Web環(huán)境為基礎(chǔ)、Web應(yīng)用為載體的新時(shí)代。Clickjacking攻擊是最近2年才出現(xiàn)的一種基于視覺(jué)欺騙的WEB攻擊方法，目前其已經(jīng)演化為"點(diǎn)擊劫持"、"拖放劫持"和"觸屏劫持"等三種主流攻擊技術(shù)，能夠?qū)κ褂脗€(gè)人電腦和最新移動(dòng)智能移動(dòng)終端設(shè)備上網(wǎng)瀏覽網(wǎng)頁(yè)的用戶進(jìn)行攻擊。攻防徐少培研究員在演講中詳細(xì)介紹了各種Clickjacking攻擊的技術(shù)原理，并現(xiàn)場(chǎng)演示了針對(duì)某國(guó)際大型網(wǎng)站和IPAD移動(dòng)終端的攻擊示例；隨后給出了基于X-Frame-Options和Frame Busting兩種對(duì)Clickjacking進(jìn)行防御的技術(shù)手段。

[[16764]]

同時(shí)，天融信攻防徐少培研究員指出，并不是說(shuō)有了防御方法，這種攻擊就會(huì)消失。目前瀏覽器對(duì)X-Frame-Options的支持還沒(méi)有完全普及，而Frame Busting的使用率極低， Alexa前500最受歡迎網(wǎng)站中，也只有14%的網(wǎng)站裝有"破壞框"代碼。移動(dòng)設(shè)備上的WEB安全防御，更容易被人們疏忽。最后，他介紹了天融信攻防實(shí)驗(yàn)室在WEB攻擊與防御領(lǐng)域內(nèi)的最新研究成果。演講收到了與會(huì)專家和業(yè)內(nèi)同行的一致好評(píng)。

此外，本次大會(huì)對(duì)2009－2010年度對(duì)國(guó)家漏洞庫(kù)（CNNVD）建設(shè)作出突出貢獻(xiàn)的十余家單位進(jìn)行了表彰，天融信公司由于向國(guó)家漏洞庫(kù)提交多個(gè)高風(fēng)險(xiǎn)等級(jí)的安全漏洞而榮獲獎(jiǎng)勵(lì)。

通過(guò)本次大會(huì)，從一個(gè)側(cè)面代表了天融信信息安全漏洞研究和風(fēng)險(xiǎn)評(píng)估領(lǐng)域內(nèi)具有深厚的研究實(shí)力，特別是在WEB攻擊與防御技術(shù)研究方向上處于國(guó)內(nèi)領(lǐng)先水平。這充分證明天融信公司能夠?yàn)檎块T、國(guó)家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)行業(yè)單位等客戶提供一流的安全產(chǎn)品和安全服務(wù)。

【編輯推薦】

1. 對(duì)天融信移動(dòng)系統(tǒng)安全防護(hù)方案的詳細(xì)解析
2. 對(duì)天融信移動(dòng)系統(tǒng)安全防護(hù)方案的詳細(xì)解析
3. 你現(xiàn)在就應(yīng)該堵住的6個(gè)企業(yè)安全漏洞
4. 天融信X3戰(zhàn)略贏得國(guó)際一致好評(píng)