Presentation is loading. Please wait.

Presentation is loading. Please wait.

淘宝云应用安全 Lyon 5/23/2013.

Similar presentations


Presentation on theme: "淘宝云应用安全 Lyon 5/23/2013."— Presentation transcript:

1 淘宝云应用安全 Lyon 5/23/2013

2 About me X-BUG SECURITY TEAM LSCSA LABS TAOBAO ID:Lyon

3 目录 背景 web安全 网络隔离 系统安全 攻击防护 第三方厂商软件漏洞 内容安全:略

4 背景 介绍 TAE(Taobao App Engine)是基于云计 算的淘宝第三方应用平台. 我们的用户? isv、品牌站、合作伙伴等
给用户带来的价值!

5 web安全 APP上线前、后的一些安全措施?

6 如何做? 安全框架 SQLI防范 (Druid) Javascript安全 (CAJA) 第三方厂商 漏洞防范(浏览器) XSS CSRF
URL跳转 文件包含 上传 http header注入 SQLI防范 (Druid) Javascript安全 (CAJA) 第三方厂商 漏洞防范(浏览器) Utf-7 mhtml

7 网络隔离 Iptables 在线监控Iptalbles规则

8 系统层安全 JVM层: policy file、security manager 系统层 T4 Capability Instance
单用户单进程 普通用户权限 资源限制 T4 chroot T4 Capability Instance Selinux Seccomp

9 kernel patch 内核0day攻击检测补丁(level:0,1,2)

10 攻击防范 Ddos TAE机房在tbtn上,针对syn flood、udp flood 等攻击,淘宝自建流量清洗中心.. Cc
针对http get flood攻击,TAE主机统一部TMD 产品。 定期进行攻防演练

11 第三方厂商漏洞 资源 http://code.google.com/p/google-caja/
……

12

13 THANK YOU


Download ppt "淘宝云应用安全 Lyon 5/23/2013."

Similar presentations


Ads by Google