【51CTO.com 综合消息】10月18日至20日,由中国信息安全测评中心主办的第三届信息安全漏洞分析与风险评估大会在黄山召开。来自国家信息安全主管部门、国家基础信息网络和重要信息系统行业单位、网络与信息安全科研机构、产业机构等200多名专家学者出席了大会。天融信公司研发部总监姚崎率队参加本次大会。大会设有漏洞分析、风险评估和应用实践3个分会场,围绕信息安全漏洞分析与风险评估领域的一系列热点问题进行广泛交流与非常专业深入的探讨。
本次大会上,天融信攻防研究员代表天融信攻防实验室 攻防研究员徐少培代表天融信公司作了题为"基于ClickJacking模式的Web攻击与防御"的主题演讲。报告指出,随着WEB2.0的出现,以及HTML5的发展,很多应用操作都已经向WEB上移植,使基于WEB上的攻击层出不穷,信息安全也开始过渡到以Web环境为基础、Web应用为载体的新时代。Clickjacking攻击是最近2年才出现的一种基于视觉欺骗的WEB攻击方法,目前其已经演化为"点击劫持"、"拖放劫持"和"触屏劫持"等三种主流攻击技术,能够对使用个人电脑和最新移动智能移动终端设备上网浏览网页的用户进行攻击。攻防徐少培研究员在演讲中详细介绍了各种Clickjacking攻击的技术原理,并现场演示了针对某国际大型网站和IPAD移动终端的攻击示例;随后给出了基于X-Frame-Options和Frame Busting两种对Clickjacking进行防御的技术手段。
同时,天融信攻防徐少培研究员指出,并不是说有了防御方法,这种攻击就会消失。目前浏览器对X-Frame-Options的支持还没有完全普及,而Frame Busting的使用率极低, Alexa前500最受欢迎网站中,也只有14%的网站装有"破坏框"代码。移动设备上的WEB安全防御,更容易被人们疏忽。最后,他介绍了天融信攻防实验室在WEB攻击与防御领域内的最新研究成果。演讲收到了与会专家和业内同行的一致好评。
此外,本次大会对2009-2010年度对国家漏洞库(CNNVD)建设作出突出贡献的十余家单位进行了表彰,天融信公司由于向国家漏洞库提交多个高风险等级的安全漏洞而荣获奖励。
通过本次大会,从一个侧面代表了天融信信息安全漏洞研究和风险评估领域内具有深厚的研究实力,特别是在WEB攻击与防御技术研究方向上处于国内领先水平。这充分证明天融信公司能够为政府部门、国家基础信息网络和重要信息系统行业单位等客户提供一流的安全产品和安全服务。
【编辑推荐】
