【51CTO.com 綜合消息】10月18日至20日，由中國信息安全測評中心主辦的第三屆信息安全漏洞分析與風險評估大會在黃山召開。來自國家信息安全主管部門、國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)行業(yè)單位、網(wǎng)絡(luò)與信息安全科研機構(gòu)、產(chǎn)業(yè)機構(gòu)等200多名專家學者出席了大會。天融信公司研發(fā)部總監(jiān)姚崎率隊參加本次大會。大會設(shè)有漏洞分析、風險評估和應(yīng)用實踐3個分會場，圍繞信息安全漏洞分析與風險評估領(lǐng)域的一系列熱點問題進行廣泛交流與非常專業(yè)深入的探討。

本次大會上，天融信攻防研究員代表天融信攻防實驗室 攻防研究員徐少培代表天融信公司作了題為"基于ClickJacking模式的Web攻擊與防御"的主題演講。報告指出，隨著WEB2.0的出現(xiàn)，以及HTML5的發(fā)展，很多應(yīng)用操作都已經(jīng)向WEB上移植，使基于WEB上的攻擊層出不窮，信息安全也開始過渡到以Web環(huán)境為基礎(chǔ)、Web應(yīng)用為載體的新時代。Clickjacking攻擊是最近2年才出現(xiàn)的一種基于視覺欺騙的WEB攻擊方法，目前其已經(jīng)演化為"點擊劫持"、"拖放劫持"和"觸屏劫持"等三種主流攻擊技術(shù)，能夠?qū)κ褂脗€人電腦和最新移動智能移動終端設(shè)備上網(wǎng)瀏覽網(wǎng)頁的用戶進行攻擊。攻防徐少培研究員在演講中詳細介紹了各種Clickjacking攻擊的技術(shù)原理，并現(xiàn)場演示了針對某國際大型網(wǎng)站和IPAD移動終端的攻擊示例；隨后給出了基于X-Frame-Options和Frame Busting兩種對Clickjacking進行防御的技術(shù)手段。

[[16764]]

同時，天融信攻防徐少培研究員指出，并不是說有了防御方法，這種攻擊就會消失。目前瀏覽器對X-Frame-Options的支持還沒有完全普及，而Frame Busting的使用率極低， Alexa前500最受歡迎網(wǎng)站中，也只有14%的網(wǎng)站裝有"破壞框"代碼。移動設(shè)備上的WEB安全防御，更容易被人們疏忽。最后，他介紹了天融信攻防實驗室在WEB攻擊與防御領(lǐng)域內(nèi)的最新研究成果。演講收到了與會專家和業(yè)內(nèi)同行的一致好評。

此外，本次大會對2009－2010年度對國家漏洞庫（CNNVD）建設(shè)作出突出貢獻的十余家單位進行了表彰，天融信公司由于向國家漏洞庫提交多個高風險等級的安全漏洞而榮獲獎勵。

通過本次大會，從一個側(cè)面代表了天融信信息安全漏洞研究和風險評估領(lǐng)域內(nèi)具有深厚的研究實力，特別是在WEB攻擊與防御技術(shù)研究方向上處于國內(nèi)領(lǐng)先水平。這充分證明天融信公司能夠為政府部門、國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)行業(yè)單位等客戶提供一流的安全產(chǎn)品和安全服務(wù)。

【編輯推薦】

1. 對天融信移動系統(tǒng)安全防護方案的詳細解析
2. 對天融信移動系統(tǒng)安全防護方案的詳細解析
3. 你現(xiàn)在就應(yīng)該堵住的6個企業(yè)安全漏洞
4. 天融信X3戰(zhàn)略贏得國際一致好評