《WVSS渠道销售培训(请勿外传)课件.ppt》由会员分享,可在线阅读,更多相关《WVSS渠道销售培训(请勿外传)课件.ppt(52页珍藏版)》请在三一办公上搜索。
1、绿盟科技WEB应用漏洞扫描系统销售培训,内部使用,NSFOCUS Web Vulnerability Scanning System,1 卖什么,2 卖给谁,3 怎么卖,5 促销策略,4 谁在买,1 卖什么?,1.1 原理和概念,1.2 产品家族,1.3 产品功能特性,1.4 解决方案,SQL注入,SQL注入攻击者通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。通过SQL注入,攻击者可读取或篡改整个数据库的信息,甚至能够获得更多的包括管理员的权限。,Username: adminPassword: p$w0rdSELECT COUN
2、T(*)FROM Users WHERE username=admin and password=p$w0rd,Username: admin OR 1=1 -Password: 1SELECT COUNT(*)FROM UsersWHERE username=admin OR 1=1 - and password=1注:是SQL字符串变量的定界符 -是SQL注释符,正常登录,异常登录,登录成功,登录成功,普通用户,WEB服务器,WEB服务器,黑客,扫描方式:数据库错误盲注扫描组件:特征库:包括多种常见的SQL注入扫描方法和针对复杂环境的绕过技术。判断模块:根据不同请求URL返回的内容判断是否
3、可能存在SQL注入漏洞。URL构造模块:分析每个可能存在SQL注入的参数,比如Cookie, GET, POST请求中的参数。,SQL注入扫描原理,跨站脚本,跨站脚本(XSS)跨站脚本攻击指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。,最新促销活动,沙发,活动很给力!,参加活动奖励现金!恶意代码,执行恶意代码,操作步骤:WEB服务器发布正常信息黑客向WEB服务器发布恶意代码用户浏览网页信息WEB服务器将恶意代码发至用户客户端执行恶意代码,黑客,WEB服务器,用户,组件构造URL模块:处理原始URL以
4、及请求数据,枚举可能出现XSS的情况并加上特征串,构造出新的URL,包括修改,增加等GET请求,POST请求中的参数。上下文判断模块:根据特征串出现的位置,判断XSS可能出现的上下文,不同的上下文使用的特征字符串也不同。检查模块:对出现的每个位置判断构造的XSS特征串是否可以被执行或者解析。特征库:特征字符串的集合,可以根据不同条件(上下文环境,被过滤字符,未过滤字符),跨站脚本扫描原理,网页挂马,网页挂马网页挂马就是攻击者通过在正常的页面中(通常是网站的主页)插入一段代码。浏览者在打开该页面的时候,这段代码被执行,然后下载并运行某木马的服务器端程序,进而控制浏览者的主机。,WEB服务器,黑客
5、,用户,木马服务器,操作步骤:黑客攻击WEB服务器并嵌入木马地址用户浏览网页信息WEB服务器指向木马服务器用户被访问木马服务器下载并运行木马用户主机被黑客控制,静态和动态扫描相结合静态分析:提取页面中包含的可疑链接,脚本。动态分析:执行javascript,跟踪和分析脚本执行的行为,包括是否产生新的链接,是否调用控件接口,分配内存的大小和方式,最终确定是否是挂马。特征库:定义了一组行为,当脚本执行过程与特征库中的一组行为匹配时,就可以判断是否存在挂马以及挂马利用的具体漏洞。,网页挂马扫描原理,1 卖什么?,1.1 原理和概念,1.2 产品家族,1.3 产品功能特性,1.4 解决方案,产品规格参
6、数,2013Q1上市,2013Q3上市,WVSS NX3-X侧视图,硬件视图,WVSS NX3- P侧视图,WVSS NX3- S侧视图,1 卖什么?,1.1 原理和概念,1.2 产品家族,1.3 产品功能特性,1.4 解决方案,产品定位,绿盟WEB应用扫描系统高可信度、高效的WEB应用漏洞扫描器。,支持多种WEB应用类型检测支持OWASP TOP10、WASC漏洞分类,快速精确的扫描技术高效稳定的扫描引擎漏洞验证技术,专家级统计分析报告漏洞误报修正功能WAF联动技术,1.支持Web2.0、SSL覆盖各企事业单位门户网站、电子政务互动平台、政务信息公开服务系统等;覆盖社区论坛、内容管理系统(C
7、MS)和电子商务应用等Web应用平台;支持HTTP1.0和1.1标准的Web应用系统;支持Web2.0,支持Ajax、Flash、JS等脚本解析;支持基于HTTPS的Web应用系统;支持所有类型的动态及静态页面;支持PHP、ASP、.NET和Java等开发环境的Web应用系统;支持基于basic、NTLM、Cookie、SSL等认证方式的Web应用系统。,全面的Web应用安全检测,2.支持OWASP TOP10、WASC分类漏洞检测类型覆盖OWASP TOP 10和WASC分类,支持网页挂马检测;漏洞兼容CVE、BUGTRAQ、NSFOCUS、CNNVD、CNCVE、CVSS、CNVD等标准。
8、,全面的Web应用安全检测,A1-注入A2-跨站脚本(XSS)A3-错误的认证的会话管理A4-不正确的直接对象引用A5-伪造跨站请求(CSRF)A6-安全性无配置A7-限制远程访问失败A8-未验证的重定向的传递A9-不安全的加密存储A10-不足的传输层保护,客户端攻击类型:跨站脚本攻击 客户端攻击类型:内容欺骗 逻辑攻击类型:拒绝服务 逻辑攻击类型:过程验证不充分 命令执行类型:缓冲区溢出 命令执行类型:系统命令执行 命令执行类型:LDAP注入命令执行类型:SQL注入 命令执行类型:XPath注入 信息泄露类型:目录索引信息泄露信息泄露类型:信息泄露 信息泄露类型:目录遍历 信息泄露类型:资源
9、位置可预测 认证类型:暴力猜测 认证类型:认证不充分 授权类型:授权不充分 授权类型:会话期限不足,高效稳定的扫描体验,1.快速精确的扫描技术2.高效稳定的扫描引擎,已知应用框架的扫描技术,精确扫描技术,智能页面爬取技术,远程网页挂马检测技术,站点信息重整化(NSIP)技术,精确,快速精确,快速精确,精确,快速,统一硬件平台,嵌入式安全操作系统,内核级优化,高效稳定,高效精确的扫描能力,3.漏洞验证技术模拟漏洞利用过程,验证漏洞真实存在直观展示漏洞验证过程信息不影响用户正常使用和服务器正常运行,1.仪表盘,直观展示整体风险1)最近N天整体风险等级;2)最新更新漏洞列表;3)最近N天扫描站点列表
10、;4)最近N天危险站点TOP M。备注:N和M均可自定义,专家级统计分析报告,专家级统计分析报告,2.详尽描述站点风险情况和修复建议,综述信息展示展示任务综述、风险类型和风险值最高的页面TOP 10;单站点信息查看该站点的详细检测数据:站点概述、风险类型、Web风险分布(站点树、漏洞分布、漏洞验证参考)、外部链接列表;漏洞列表展示漏洞名称、出现次数和漏洞详细信息、解决办法等。,详尽的漏洞描述,全中文完整详细的描述及行之有效的解决方法,漏洞误报修正功能,3.漏洞误报修正功能客户输出报表时想要修正报表中的漏洞信息时使用修正后的漏洞在任务中将被删除,不会显示,WAF联动技术,WEB安全检测与安全防护
11、的完美结合:, WVSS对网站信息进行识别和分析,并将结果传递给WAF; WAF使用传递来的结果作为其“HTTP和HTML限制”功能的参考值,进而配置防护策略生效; WAF同时处理传递来的URL链接信息,将安全的URL链接放入其可信的“白名单”,将有漏洞的URL链接放入其不可信的“黑名单”。,功能特性总结,全面发现Web漏洞,掌控网站风险,快速稳定扫描,杜绝缓慢和异常,专家级修复建议,节约维护成本,1 卖什么?,1.1 原理和概念,1.2 产品家族,1.3 产品功能特性,1.4 解决方案,单路扫描部署解决方案,需求分析:用户网络结构不是十分复杂,子网间没有做隔离可以互访,需要对网络中的Web应
12、用进行漏洞检测。解决方案:通过单路扫描部署方式将WVSS设备部署到网络内,在选择设备的一个扫描口接入到目标网络内,目标网络可达即可。,多路扫描部署解决方案,需求分析:用户网络存在多个子网划分或者vlan划分,并且多个子网或vlan间不能直接相互访问的情况下,需要对多个彼此分开的网络同时进行web应用漏洞检测。解决方案:通过多路扫描部署的方式将WVSS设备部署到网络内,在设备的多个网口分别接入多个目标网络内,对多个网络环境分别扫描。,1 卖什么,2 卖给谁,3 怎么卖,5 促销策略,4 谁在买,政府行业,政府行业,金融行业,运营商行业,重点客户:公安、财政、税务、海关、涉密、政府、检测机构等。政
13、策法规:关于进一步加强政府网站管理工作的通知 国办函【2011】40号关于大力推进信息化发展和切实保障信息安全的若干意见 国发【2012】23号关于印发的通知 工信部规【2011】567号驱动力: 1.合规性要求(风险评估、等级保护); 2.监管、检查体系建设; 3.电子政务网站安全建设。解决方案:政府网站安全形势威胁,既有外部威胁、又有自身脆弱性和薄弱环节。而政府网站部署的防火墙、防病毒软件等,不能提供有效地针对Web应用攻击完善的防御能力。针对现状,需采取专门的监管机制,对Web应用攻击进行有效检测,发现Web应用漏洞和威胁,提供安全解决方案,保障电子政务网站安全。,企业,运营商行业,重点
14、客户:中国移动、中国联通、中国电信等。政策法规:关于开展2012年通信网络安全防护检查工作的通知 工信部保函【2012】102号中国移动网页篡改及网页信息安全防护系统技术规范 中国移动【2009】中国移动网页安全漏洞扫描系统技术规范 中国移动【2010】中国电信网络安全技术白皮书 中国电信【2011】驱动力: 1.合规要求(工信部、集团公司安全检查); 2.业务系统安全建设; 3.网站安全建设。 解决方案:中国移动、电信和联通网站系统中的门户网站、网上营业厅,均面向广大用户提供互联网业务服务,面临Web服务暴露在互联网而遭遇网站攻击的问题。因此加强门户网站和网上营业厅的安全建设尤其重要。部署绿
15、盟WEB应用扫描系统对管理的Web网站定期进行Web漏洞检测,统一进行安全加固、应急响应等工作。,政府行业,金融行业,运营商行业,企业,金融行业,重点客户:银行、保险、证券等三大类客户。政策法规:网上银行系统信息安全通用规范(试行) 银发【2010】10号网上银行安全风险管理指引(征求意见稿) 银监办便函【2011】549号保险公司信息系统安全管理指引(征求意见稿) 保监厅函【2011】65号证券公司网上证券信息系统技术指引 中国证券业协会【2009】 驱动力: 1.合规性要求(等级保护建设); 2.业务系统安全评估、风险管理; 3.业务保障,网站安全建设。 解决方案:网上银行系统业务安全问题
16、,攻击者利用网上银行系统Web漏洞对系统进行如SQL注入等攻击手段并控制服务器端,并进行页面篡改和网页挂马等后续操作。因此定期对现有网上业务系统进行安全评估,同时加强新业务系统上线前的应用安全评估,对避免遭受黑客攻击很有帮助。,政府行业,金融行业,运营商行业,企业,1 卖什么,2 卖给谁,3 怎么卖,5 促销策略,4 谁在买,3 怎么卖?,3.1 热点新闻关键事件,3.3 产品资质,3.4 竞争分析,3.5 报价方法,3.2 客户价值,安全事件不断涌现,跨站脚本攻击,敏感信息泄露,网页挂马,SQL注入,解决问题的根本方法,黑客攻击最根本依据在于发现、利用Web漏洞。,先于黑客发现并修复漏洞,始
17、终是治本的方法。,SQL注入,网页挂马,XSS,CGI漏洞,CSRF,弱口令,信息泄露,WEB站点,3 怎么卖?,3.1 热点新闻关键事件,3.3 产品资质,3.4 竞争分析,3.5 报价方法,3.2 客户价值,客户价值,3 怎么卖?,3.1 热点新闻关键事件,3.3 产品资质,3.4 竞争分析,3.5 报价方法,3.2 客户价值,产品资质,3 怎么卖?,3.1 热点新闻关键事件,3.3 产品资质,3.4 竞争分析,3.5 报价方法,3.2 客户价值,国内篇,应对策略:1.软件产品,性能受限于操作系统,而且安全性不能保证;2.软件产品,部署复杂而且用户体验度低;3.售后支持,公司规模小,售后和
18、应急响应能力不足。,国外篇,应对策略:1.国外厂商,产品不支持中文,用户体验度差;2.其他内容与国内厂商应对策略一致。,Web漏洞扫描产品选择硬件产品优于软件产品:,安全产品自身安全很重要,性能测试结果,结论:1.WVSS X型号比RSAS S型号性能更优,后期推出的WVSS S和E型号性能将更优。2.WVSS 在性能和稳定性上优于IBM AppScan。,3 怎么卖?,3.1 热点新闻关键事件,3.3 产品资质,3.4 竞争分析,3.5 报价方法,3.2 客户价值,报价方式,注:红色标记为3月份报价新添加模块。,1 卖什么,2 卖给谁,3 怎么卖,5 促销策略,4 谁在买,项目背景 吉林信息
19、安全测评中心(简称吉林测评中心)主要承担吉林省内重要业务系统的安全检查和保障任务,例如省内十八大安全检查,东北亚贸易博览会安保等。 为保障吉林省政府网站的安全运行,吉林测评中心和吉林省政府办公厅下发文件开展对全省100多个政府网站做全面安全检查,并提供整改建议。,成功案例-吉林信息安全测评中心,解决方案 此次吉林测评中心通过部署1台NSFOCUS WVSS NX3-P便携式设备,实现对全省100多个政府网站远程安全检测。通过远程漏洞检测及挂马检测,查找网站系统存在的安全隐患和漏洞,及时提出改进建议,提高网站的安全水平。同时,便携式也可满足吉林测评中心人员携带设备到省内各单位现场对政府网站漏洞扫描的需求。,客户价值 吉林测评中心通过采购WVSS对吉林政府网站进行全方位漏洞扫描和挂马检测,并提供改进意见,积极督促相关人员根据建议修复系统存在的问题,保障全省政府网站应用安全。,1 卖什么,2 卖给谁,3 怎么卖,5 促销策略,4 谁在买,促销策略,促销活动开始时间:2013年1月1日,注:行业主管机构或测评机构是指应用于对被检查单位进行合规检查的单位。,操作流程,WVSS促销活动项目申请单填写样例,如果已经申请测试机,可以在这里填写测试申请单编号,符合条件可减免测试机费用,谢谢!,
