Download presentation
Presentation is loading. Please wait.
1
淘宝云应用安全 Lyon 5/23/2013
2
About me X-BUG SECURITY TEAM LSCSA LABS TAOBAO ID:Lyon
3
目录 背景 web安全 网络隔离 系统安全 攻击防护 第三方厂商软件漏洞 内容安全:略
4
背景 介绍 TAE(Taobao App Engine)是基于云计 算的淘宝第三方应用平台. 我们的用户? isv、品牌站、合作伙伴等
给用户带来的价值!
5
web安全 APP上线前、后的一些安全措施?
6
如何做? 安全框架 SQLI防范 (Druid) Javascript安全 (CAJA) 第三方厂商 漏洞防范(浏览器) XSS CSRF
URL跳转 文件包含 上传 http header注入 SQLI防范 (Druid) Javascript安全 (CAJA) 第三方厂商 漏洞防范(浏览器) Utf-7 mhtml
7
网络隔离 Iptables 在线监控Iptalbles规则
8
系统层安全 JVM层: policy file、security manager 系统层 T4 Capability Instance
单用户单进程 普通用户权限 资源限制 T4 chroot T4 Capability Instance Selinux Seccomp
9
kernel patch 内核0day攻击检测补丁(level:0,1,2)
10
攻击防范 Ddos TAE机房在tbtn上,针对syn flood、udp flood 等攻击,淘宝自建流量清洗中心.. Cc
针对http get flood攻击,TAE主机统一部TMD 产品。 定期进行攻防演练 …
11
第三方厂商漏洞 资源 http://code.google.com/p/google-caja/
……
13
THANK YOU
Similar presentations