1、绿盟科技WEB应用漏洞扫描系统销售培训 内部使用NSFOCUS Web Vulnerability Scanning System1 卖什么2 卖给谁3 怎么卖5 促销策略4 谁在买1 卖什么?卖什么?1.1 原理和概念原理和概念1.2 产品家族产品家族1.3 产品功能特性产品功能特性1.4 解决方案解决方案SQL注入SQL注入攻击者通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。通过SQL注入,攻击者可读取或篡改整个数据库的信息,甚至能够获得更多的包括管理员的权限。Username: adminPassword: p$w0rdSE
2、LECT COUNT(*)FROM Users WHERE username=admin and password=p$w0rdUsername: admin OR 1=1 -Password: 1SELECT COUNT(*)FROM UsersWHERE username=admin OR 1=1 - and password=1注:是SQL字符串变量的定界符 -是SQL注释符正常登录异常登录登录成功登录成功普通用户WEB服务器WEB服务器黑客 扫描方式: 数据库错误 盲注 扫描组件: 特征库:包括多种常见的SQL注入扫描方法和针对复杂环境的绕过技术。 判断模块:根据不同请求URL返回的内
3、容判断是否可能存在SQL注入漏洞。 URL构造模块:分析每个可能存在SQL注入的参数,比如Cookie, GET, POST请求中的参数。SQL注入扫描原理跨站脚本跨站脚本(XSS)跨站脚本攻击指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。最新促销活动最新促销活动沙发沙发活动很给力!活动很给力!参加活动奖励现金!参加活动奖励现金!恶意代码恶意代码执行恶意代码操作步骤:WEB服务器发布正常信息黑客向WEB服务器发布恶意代码用户浏览网页信息WEB服务器将恶意代码发至用户客户端执行恶意代码黑客WEB服务器
4、用户 组件 构造URL模块:处理原始URL以及请求数据,枚举可能出现XSS的情况并加上特征串,构造出新的URL,包括修改,增加等GET请求,POST请求中的参数。 上下文判断模块:根据特征串出现的位置,判断XSS可能出现的上下文,不同的上下文使用的特征字符串也不同。 检查模块:对出现的每个位置判断构造的XSS特征串是否可以被执行或者解析。 特征库:特征字符串的集合,可以根据不同条件(上下文环境,被过滤字符,未过滤字符)跨站脚本扫描原理网页挂马网页挂马网页挂马就是攻击者通过在正常的页面中(通常是网站的主页)插入一段代码。浏览者在打开该页面的时候,这段代码被执行,然后下载并运行某木马的服务器端程序
5、,进而控制浏览者的主机。WEB服务器黑客用户木马服务器操作步骤:黑客攻击WEB服务器并嵌入木马地址用户浏览网页信息WEB服务器指向木马服务器用户被访问木马服务器下载并运行木马用户主机被黑客控制 静态和动态扫描相结合 静态分析:提取页面中包含的可疑链接,脚本。 动态分析:执行javascript,跟踪和分析脚本执行的行为,包括是否产生新的链接,是否调用控件接口,分配内存的大小和方式,最终确定是否是挂马。 特征库:定义了一组行为,当脚本执行过程与特征库中的一组行为匹配时,就可以判断是否存在挂马以及挂马利用的具体漏洞。网页挂马扫描原理1 卖什么?卖什么?1.1 原理和概念原理和概念1.2 产品家族产
6、品家族1.3 产品功能特性产品功能特性1.4 解决方案解决方案产品规格参数产品型号技术指标WVSSNX3-X(机架式)WVSSNX3-P(便携式)WVSSNX3-S(机架式)WVSSNX3-VM(软件)OWASPTOP10分类WASC分类SQL注入检测跨站脚本检测CGI漏洞检测远程挂马检测Web2.0检测Ipv6环境部署多路扫描部署可扫描IP地址或域名范围50无限制无限制无限制页面处理能力10万/天10万/天单个任务最大域名数50无限制无限制无限制最大用户数 20 50 50 50最大存储任务数100015001500基础报表仪表盘高级数据分析系统管理2013Q1上市2013Q3上市WVSS
7、NX3-X侧视图硬件视图WVSS NX3- P侧视图WVSS NX3- S侧视图1 卖什么?卖什么?1.1 原理和概念原理和概念1.2 产品家族产品家族1.3 产品功能特性产品功能特性1.4 解决方案解决方案产品定位专业专业高效高效全面全面绿盟WEB应用扫描系统高可信度、高效的WEB应用漏洞扫描器。支持多种WEB应用类型检测支持OWASPTOP10、WASC漏洞分类快速精确的扫描技术高效稳定的扫描引擎漏洞验证技术专家级统计分析报告漏洞误报修正功能WAF联动技术1.支持支持Web2.0、SSL覆盖各企事业单位门户网站、电子政务互动平台、政务信息公开服务系统等;覆盖社区论坛、内容管理系统(CMS)
8、和电子商务应用等Web应用平台;支持HTTP1.0和1.1标准的Web应用系统;支持Web2.0,支持Ajax、Flash、JS等脚本解析;支持基于HTTPS的Web应用系统;支持所有类型的动态动态及静态页面静态页面;支持PHP、ASP、.NET和Java等开发环境的Web应用系统;支持基于basic、NTLM、Cookie、SSL等认证方式的Web应用系统。全面的Web应用安全检测2.支持支持OWASP TOP10、WASC分类分类漏洞检测类型覆盖OWASPTOP10和WASC分类,支持网页挂马检测;漏洞兼容CVE、BUGTRAQ、NSFOCUS、CNNVD、CNCVE、CVSS、CNVD等
9、标准。全面的Web应用安全检测A1-注入A2-跨站脚本(XSS)A3-错误的认证的会话管理A4-不正确的直接对象引用A5-伪造跨站请求(CSRF)A6-安全性无配置A7-限制远程访问失败A8-未验证的重定向的传递A9-不安全的加密存储A10-不足的传输层保护客户端攻击类型:跨站脚本攻击 客户端攻击类型:内容欺骗 逻辑攻击类型:拒绝服务 逻辑攻击类型:过程验证不充分 命令执行类型:缓冲区溢出 命令执行类型:系统命令执行 命令执行类型:LDAP注入命令执行类型:SQL注入 命令执行类型:XPath注入 信息泄露类型:目录索引信息泄露信息泄露类型:信息泄露 信息泄露类型:目录遍历 信息泄露类型:资源
10、位置可预测 认证类型:暴力猜测 认证类型:认证不充分 授权类型:授权不充分 授权类型:会话期限不足OWASP Top 10WASC高效稳定的扫描体验1.快速精确的扫描技术快速精确的扫描技术2.高效稳定的扫描引擎高效稳定的扫描引擎已知应用框架的扫描技术精确扫描技术智能页面爬取技术远程网页挂马检测技术站点信息重整化(NSIP)技术精确快速精确快速精确精确快速统一硬件平台,嵌入式安全操作系统,内核级优化高效稳定高效精确的扫描能力3.漏洞验证技术模拟漏洞利用过程,验证漏洞真实存在直观展示漏洞验证过程信息不影响用户正常使用和服务器正常运行1.仪表盘,直观展示整体风险仪表盘,直观展示整体风险1)最近N天整
11、体风险等级整体风险等级;2)最新更新漏洞列表更新漏洞列表;3)最近N天扫描站点列表扫描站点列表;4)最近N天危险站点危险站点TOP M。备注:N和M均可自定义专家级统计分析报告专家级统计分析报告2.详尽描述站点风险情况和修复建议综述信息展示展示任务综述、风险类型和风险值最高的页面TOP 10;单站点信息查看该站点的详细检测数据:站点概述、风险类型、Web风险分布(站点树、漏洞分布、漏洞验证参考)、外部链接列表;漏洞列表展示漏洞名称、出现次数和漏洞详细信息、解决办法等。详尽的漏洞描述,全中文完整详细的描述及行之有效的解决方法漏洞误报修正功能3.漏洞误报修正功能客户输出报表时想要修正报表中的漏洞信
12、息时使用修正后的漏洞在任务中将被删除,不会显示WAF联动技术WEB安全检测与安全防护的完美结合:WVSS对网站信息进行识别和分析,并将结果传递给WAF;WAF使用传递来的结果作为其“HTTP和HTML限制”功能的参考值,进而配置防护策略生效;WAF同时处理传递来的URL链接信息,将安全的URL链接放入其可信的“白名单”,将有漏洞的URL链接放入其不可信的“黑名单”。功能特性总结专业专业高效高效全面全面 全面发现Web漏洞,掌控网站风险 快速稳定扫描,杜绝缓慢和异常 专家级修复建议,节约维护成本1 卖什么?卖什么?1.1 原理和概念原理和概念1.2 产品家族产品家族1.3 产品功能特性产品功能特
13、性1.4 解决方案解决方案单路扫描部署解决方案需求分析:用户网络结构不是十分复杂,子网间没有做隔离可以互访,需要对网络中的Web应用进行漏洞检测。解决方案:通过单路扫描部署方式将WVSS设备部署到网络内,在选择设备的一个扫描口接入到目标网络内,目标网络可达即可。多路扫描部署解决方案需求分析:用户网络存在多个子网划分或者vlan划分,并且多个子网或vlan间不能直接相互访问的情况下,需要对多个彼此分开的网络同时进行web应用漏洞检测。解决方案:通过多路扫描部署的方式将WVSS设备部署到网络内,在设备的多个网口分别接入多个目标网络内,对多个网络环境分别扫描。运行环境WVSS发布环境开发环境外网内网
14、内网Internet扫描口1扫描口2扫描口31 卖什么卖什么2 卖给谁卖给谁3 怎么卖怎么卖5 促销策略促销策略4 谁在买谁在买政府行业 政府行业金融行业运营商行业重点客户:公安、财政、税务、海关、涉密、政府、检测机构等。政策法规:关于进一步加强政府网站管理工作的通知 国办函【2011】40号关于大力推进信息化发展和切实保障信息安全的若干意见 国发【2012】23号关于印发的通知 工信部规【2011】567号驱动力: 1.合规性要求(风险评估、等级保护); 2.监管、检查体系建设; 3.电子政务网站安全建设。解决方案:政府网站安全形势威胁,既有外部威胁、又有自身脆弱性和薄弱环节。而政府网站部署
15、的防火墙、防病毒软件等,不能提供有效地针对Web应用攻击完善的防御能力。针对现状,需采取专门的监管机制,对Web应用攻击进行有效检测,发现Web应用漏洞和威胁,提供安全解决方案,保障电子政务网站安全。 企业运营商行业重点客户:中国移动、中国联通、中国电信等。政策法规:关于开展2012年通信网络安全防护检查工作的通知 工信部保函【2012】102号中国移动网页篡改及网页信息安全防护系统技术规范 中国移动【2009】中国移动网页安全漏洞扫描系统技术规范 中国移动【2010】中国电信网络安全技术白皮书 中国电信【2011】驱动力: 1.合规要求(工信部、集团公司安全检查); 2.业务系统安全建设;
16、3.网站安全建设。 解决方案:中国移动、电信和联通网站系统中的门户网站、网上营业厅,均面向广大用户提供互联网业务服务,面临Web服务暴露在互联网而遭遇网站攻击的问题。因此加强门户网站和网上营业厅的安全建设尤其重要。部署绿盟WEB应用扫描系统对管理的Web网站定期进行Web漏洞检测,统一进行安全加固、应急响应等工作。 政府行业金融行业运营商行业企业金融行业重点客户:银行、保险、证券等三大类客户。政策法规:网上银行系统信息安全通用规范(试行) 银发【2010】10号网上银行安全风险管理指引(征求意见稿) 银监办便函【2011】549号保险公司信息系统安全管理指引(征求意见稿) 保监厅函【2011】
17、65号证券公司网上证券信息系统技术指引 中国证券业协会【2009】 驱动力: 1.合规性要求(等级保护建设); 2.业务系统安全评估、风险管理; 3.业务保障,网站安全建设。 解决方案:网上银行系统业务安全问题,攻击者利用网上银行系统Web漏洞对系统进行如SQL注入等攻击手段并控制服务器端,并进行页面篡改和网页挂马等后续操作。因此定期对现有网上业务系统进行安全评估,同时加强新业务系统上线前的应用安全评估,对避免遭受黑客攻击很有帮助。 政府行业金融行业运营商行业企业1 卖什么卖什么2 卖给谁卖给谁3 怎么卖怎么卖5 促销策略促销策略4 谁在买谁在买3 3 怎么卖?怎么卖?3.1 3.1 热点新闻
18、热点新闻 关键事件关键事件3.3 3.3 产品资质产品资质3.4 3.4 竞争分析竞争分析3.5 3.5 报价方法报价方法3.2 3.2 客户价值客户价值安全事件不断涌现跨站脚本攻击敏感信息泄露网页挂马SQL注入解决问题的根本方法黑客攻击最根本依据在于发现、利用Web漏洞。先于黑客发现并修复漏洞,始终是治本的方法。SQL注入网页挂马XSSCGI漏洞CSRF弱口令信息泄露WEB站点WEB漏洞发现CSRF跨站脚本信息窃取攻击者防火墙网站系统网页篡改信息泄露SQL注入网网站站入入侵侵3 3 怎么卖?怎么卖?3.1 3.1 热点新闻热点新闻 关键事件关键事件3.3 3.3 产品资质产品资质3.4 3.
19、4 竞争分析竞争分析3.5 3.5 报价方法报价方法3.2 3.2 客户价值客户价值客户价值网站开发者网站运维者网站监管者系统上线前自检查,查找系统存在的bug,并修复。确保系统能正常上线,而且上线后不被遭受攻击。发现网站的安全性问题,如是否被挂马、SQL注入等,并及时修补。掌握下属机构网站运营情况,整体风险状况,整理成详细的报告。3 3 怎么卖?怎么卖?3.1 3.1 热点新闻热点新闻 关键事件关键事件3.3 3.3 产品资质产品资质3.4 3.4 竞争分析竞争分析3.5 3.5 报价方法报价方法3.2 3.2 客户价值客户价值产品资质证书类型预计获得时间当前状态计算机软件著作权登记证书20
20、12.Q4已获得计算机信息系统安全专用产品销售许可证2013.Q1申请中涉密信息系统产品检测证书2013.Q1申请中军用信息安全产品认证证书2013.Q1申请中分级评估证书EAL12013.Q3暂未申请3 3 怎么卖?怎么卖?3.1 3.1 热点新闻热点新闻 关键事件关键事件3.3 3.3 产品资质产品资质3.4 3.4 竞争分析竞争分析3.5 3.5 报价方法报价方法3.2 3.2 客户价值客户价值国内篇绿盟NSFOCUS WVSS安恒明鉴MatriXay 5.0安域领创WebRavor知道创宇Websaber优势1.专有高可靠性高性能定制硬件平台;2.基于HTTPS的B/S架构,简易部署;
21、3.基于精确扫描技术,提供高可信度的检测结果;4.完善的分支体系,提供高效的本地化支持。1.支持渗透测试,模拟黑客攻击手段,实施无害攻击,获取证据;2.在WEB攻防方面较强研究能力;3.检测范围较全,拥有2000+漏洞库,与国内产品相比准确性高。1.自动过滤大量重复页面,智能预测和分析;2.支持渗透测试。1.具备网站信息泄露、不恰当配置检测能力;2.支持渗透测试;3.融入网站信誉和敏感内容的检测,有5000条CGI扫描库。劣势1.不支持渗透测试。1.非硬件产品,性能和安全性不足;2.采用软件结构,部署复杂且用户体验度低;3.公司规模小,售后和应急响应能力不足。1.非硬件产品,性能和安全性不足;
22、2.采用软件结构,部署复杂且用户体验度低;3.公司规模小,售后和应急响应能力不足。1.非硬件产品,性能和安全性不足;2.采用软件结构,部署复杂且用户体验度低;3.公司规模小,售后和应急响应能力不足。应对策略:1.软件产品,性能受限于操作系统,而且安全性不能保证;2.软件产品,部署复杂而且用户体验度低;3.售后支持,公司规模小,售后和应急响应能力不足。国外篇绿盟NSFOCUS WVSSIBMAppScanHPWebInspectAcunetixWVS优势1.专有高可靠性高性能定制硬件平台;2.基于HTTPS的B/S架构,简易部署;3.基于精确扫描技术,提供高可信度的检测结果;4.完善的分支体系,
23、提供高效的本地化支持。1.产品功能更新快,具有白盒代码分析能力;2.能方便查看站点各资源;3.作为Rational系列中的成员,可整体销售;4.覆盖范围较全(Web2.0、WAP),检测机制较全(SAST、DAST、IAST)。1.可与HP Assessment Management Platform软件集成;2.SPI Labs每天更新漏洞库,具有5000+特征库;3.覆盖范围较全(Web2.0、WAP),检测机制较全(SAST、DAST、IAST)。1.包含渗透测试工具;2.通过GHDB(谷歌黑客数据库)获取网站内容,获取敏感数据并告知;3.报告内容符合PCI合规性要求。劣势1.不支持渗透
24、测试。1.有一定的误报;2.非硬件产品,性能和安全性不足;3.不支持用户分权管理;4.采用软件结构,部署复杂且用户体验度低;5.规则设置复杂,需要较强的安全知识;6.国内售后和应急响应能力不足。1.产品不支持中文;2.非硬件产品,性能和安全性不足;3.不支持用户分权管理;4.采用软件结构,部署复杂且用户体验度低。5.规则设置复杂,需要较强的安全知识;6.国内售后和应急响应能力不足。1.产品不支持中文;2.非硬件产品,性能和安全性不足;3.不支持用户分权管理;4.采用软件结构,部署复杂且用户体验度低;5.国内售后和应急响应能力不足。应对策略:1.国外厂商,产品不支持中文,用户体验度差;2.其他内
25、容与国内厂商应对策略一致。Web漏洞扫描产品选择硬件产品优于软件产品:安全产品自身安全很重要对比项硬件产品软件产品性能采用独立硬件平台,专有操作系统,稳定可靠,性能较好。性能受限于安装软件的设备配置,性能不可控,稳定性较差。安全性采用独立硬件平台,数据均加密存储,采用SSL加密通信。数据均存储于第三方平台中,数据安全不能保障。用户体验采用B/S架构,通过浏览器即可管理和维护,使用方便。需要安装客户端软件,部署复杂,易用性较差。成本无需增加额外硬件成本安装客户端软件。需要安装客户端软件,因此需要增加额外硬件成本。性能测试结果测试环境扫描参数策略各平台测试结论NSFOCUS WVSS XNSFOC
26、US RSAS(WebScan)SIBM AppScan此环境为研发自主搭建环境,用同一网站,50%静态页面,50%动态页面总链接数1009分钟44秒17分钟20分钟总链接数1000 1小时08分钟1小时46分钟1小时20分总链接数10000 17小时03分钟18小时48分钟内存不足未完成(Intel Core i3 3.10GHz、2GB内存 )以上环境的拷贝,共6个,都是独立的物理机上环境系统容忍的最大并发数下,保证全天满负荷运行10万(并发任务数7)10万(webscan原有数据)结论:1.WVSS X型号比RSAS S型号性能更优,后期推出的WVSS S和E型号性能将更优。2.WVSS
27、 在性能和稳定性上优于IBM AppScan。3 3 怎么卖?怎么卖?3.1 3.1 热点新闻热点新闻 关键事件关键事件3.3 3.3 产品资质产品资质3.4 3.4 竞争分析竞争分析3.5 3.5 报价方法报价方法3.2 3.2 客户价值客户价值报价方式NSFOCUS WVSSNSFOCUS WVSS整体报价整体报价WVSS NX3-X引擎系统引擎模块1-50个IP地址或域名授权许可扫描端口扩展模块(最多3个) 漏洞验证模块数据接口模块可选接口模块产品服务套餐(根据用户需求选配)白银服务包黄金服务包白金服务包钻石服务包许可证变更服务先行替代服务WVSS NX3-P引擎系统引擎模块无限制IP地
28、址或域名授权许可漏洞验证模块扫描端口扩展模块(最多3个)WVSS NX3-S引擎系统引擎模块1-100个IP地址或域名授权许可无限制IP地址或域名授权许可扫描端口扩展模块(最多5个)数据接口模块漏洞验证模块可选接口模块注:红色标记为3月份报价新添加模块。1 卖什么卖什么2 卖给谁卖给谁3 怎么卖怎么卖5 促销策略促销策略4 谁在买谁在买项目背景项目背景 吉林信息安全测评中心(简称吉林测评中心)主要承担吉林省内重要业务系统的安全检查和保障任务,例如省内十八大安全检查,东北亚贸易博览会安保等。 为保障吉林省政府网站的安全运行,吉林测评中心和吉林省政府办公厅下发文件开展对全省全省100多个政府网站做
29、全面安全检查多个政府网站做全面安全检查,并提供整改建议。成功案例-吉林信息安全测评中心解决方案 此次吉林测评中心通过部署1台NSFOCUS WVSS NX3-P便携式设备,实现对全省100多个政府网站远程安全检测。通过远程漏洞检测及挂马检测,查找网站系统存在的安全隐患和漏洞,及时提出改进建议,提高网站的安全水平。同时,便携式也可满足吉林测评中心人员携带设备到省内各单位现场对政府网站漏洞扫描的需求。客户价值 吉林测评中心通过采购WVSS对吉林政府网站进行全方位漏洞扫描和挂马检测,并提供改进意见,积极督促相关人员根据建议修复系统存在的问题,保障全省政府网站应用安全。1 卖什么卖什么2 卖给谁卖给谁
30、3 怎么卖怎么卖5 促销策略促销策略4 谁在买谁在买促销策略目标客户行业主管或测评机构其他客户活动产品型号PP,X活动时间2013年1月1日2013年12月31日2013年1月1日2013年3月31日活动内容1.测试机支持:项目运作期间由产品推广部提供测试机试用,试用周期为一个月,共计2台设备支持,共计可支持2*12=24个项目。1.测试机支持:项目运作期由产品推广部提供测试机试用,试用周期为一个月,共计6台设备支持,共计可支持6*3=18个项目。2.售前支持:项目运作期间提供售前技术交流支持。2.售前支持:项目运作期提供售前技术交流支持。3.重点保障支持:项目运作期间提供重点支持和保障,产品问题立即组织后端人员支持、调试和修改。3.PAWSS服务优惠:项目成单后,每个项目免PAWSS服务包一个月工时成本,先到先得,共计10个项目名额。促销活动开始时间:2013年1月1日注:行业主管机构或测评机构是指应用于对被检查单位进行合规检查的单位。操作流程WVSS促销活动项目申请单填写样例如果已经申请测试机,可以在这里填写测试申请单编号,符合条件可减免测试机费用