11月3日，以“深度解读应用及业务安全”为主题的OWASP 2012中国峰会在深圳博林诺富特酒店召开。本届大会从多方面、多角度诠释基于、电话网和的应用、融合及业务方面的安全，并围绕应用及业务安全发展方向和威胁增长趋势等方面，进行深层次的探讨。

　　以下是360网站卫士安全解决经理石祖文《web应用安全发展的挑战和趋势》的演讲：

　　下面我们介绍一下WEB应用安全发展的挑战和趋势。新的时代WEB应用的安全面临着新的挑战。其中包括以下五个方面。第一个如何拦截 JS WORM攻击。 在WEB2.0这个时代JS比较多，相关的内容发展得比较迅猛。第二个就是拦截未知的WEB框架漏洞，比如说前面提到的JAVA的框架。第三个如何抵御HTTP FLOOD攻击这个通常称为CC攻击。第四个如何抵御DNS攻击。这个攻击近年出现的这种情况越来越多。第五个如何拦截WEB shell以及WEB shell行为，WEB shell用来控制这个网站。

　　这是当前WEB产品的分类，有网络层过滤型、内嵌型、云防护型、代码防御型，这个是选了一些比较有代表的相关的产品。网络过滤型性能高，手限于网络区域、抗DDOS能力高。内嵌型性能中、需要本机安装，抗DDOS能力中。 云防护型性能比较高，前面一万多的DDOS都能进行拦截，第二个不限制网络区域用户DNS值就可以用，由于采用分布式，性能极高。最后是代码防御型的，这一类的就是性能相对偏低一点，然后需要插入用户的网站代码当中，这就是抗DDOS能力比较差。总体web发展趋势向着云防护方向发展。网站云防护具有以下几个优点，第一个是利用分布式架构可以有效解决大型DDOS攻击，第二个隐藏后端真实网站IP，杜绝对网站服务其漏洞的直接利用;第三个由专业安全团队及时更新安全规则，第一时间拦截已知和0day漏洞;第四个更准确的用户浏览统计，帮助站长了解网络发展的状况。

　　我这里介绍相关技术方面的东西比较少，大家有什么问题可以问。

　　提问：云防护对同一个威胁在这台电脑上，安全卫士会提供报警，在另外一台电脑上360不会提供报警这是怎么回事?

　　谭晓生：前面有人问解释解析的问题，同时360做了一套抗攻击的DNS，现在在线上我们的抵抗能力每秒在400万猫左右，可能预计在一年提到1000万猫的解析量以上，第一种你的域名可以在NSO上解析，建议不管放在我们抗攻击上或者是DNS的解析上，第二个用一个更快速的方式，我们的域名直接会在抗攻击的上提供抗攻击服务。这里面的360有两个外包安全的产品，一个是360的扫描，目前也是全免费的服务，如果网站的站长上面登录了之后，我们验证的报告，第二个360网站卫士，这里面提供一个抗DOS攻击，它的原理是代理服务，如果用户是静态网站，我们可以提供加速的功能，目前全国十个点，十个点抗攻击能力10个G，如果把业务全部打死没有一两个G的带宽是很难做的到的，其实对炕几抗击攻击我们提出技术，有这样的设备或者网络的程序做这样一件事，最后还是要有足够的服务器很带宽，我在每个地方有10个G。再加上我DNS有这种调度能力，自动把服务放到其他点上去，为什么巴黎时装网打得比较厉害，最后还生存了，是这样一个东西。目前这个是全部免费的。我们日常在防护的有2000多个网站，这里面做了技术手段有了新的技术手段是主动的发现。抗DDOS攻击高。