讲座时间：5月7日（周四）晚上八点半

讲座地点：草根网 www.20ju.com

主 持 人：TNT

嘉宾：石祖文

嘉宾简介：
保护伞网络创始人，国内知名网络安全专家。早年参加国内反美红客活动，后从事汇编，破解工作和安全研究工作，曾任多家大型网站安全顾问。现就职于全国八大游戏公司值之一的网龙公司，从事游戏安全运营。

流程是：

1、首先嘉宾自我介绍
2、其次讲述web安全基础知识原理等，初步扫盲下
3、嘉宾回答提问
4、自由交流

大家好！我叫石祖文，来自保护伞网络。

曾参加过奥运期间大厦奥运大厦信息安全监控以及中国人事部公务员考试期间网站及网络安全工作。工作过程中积累了一些安全经验，借此草根网平台与大家交流。

我的网站是http://www.safe3.com.cn/

有兴趣的朋友可以看看。

下面我给大家稍微讲讲一下几个方面的web安全问题与对策

1）SQL注入挂马
2）网络带宽耗尽（迅雷等资源盗链）
3）DDOS攻击
4）XSS Worm
5）网页被篡改
6）ARP挂马

首先给大家介绍下SQL注入挂马

Web编程门槛很低，新手很容易上路。在一段不长的时间里，新手往往就已经能够编出看来比较完美的动态网站，在功能上，老手能做到的，新手也能够做到。那么新手与老手就没区别了吗？这里面区别可就大了，只不过外行人很难一眼就看出来罢了。

相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。

目前SQL注入挂马的现象比较严重，我就着重讲讲SQL注入挂马的成因以及对策。

SQL注入挂马的成因是程序员没有安全意识或者对安全不够了解造成的，常见的注入主要有数字型、字符型、搜索型和包含型。

对于字符型这个大家基本上都知道过滤掉单撇号了，然而过滤单撇号只对字符型有效。

那么对于数字型注入我们应该怎样防范呢，首先可以限制请求的长度。

比如asp中的len()函数 asp.net中的length等等

其次可以用cint() int.phrase()等对传入的数据进行转换，如果不是数字就不能继续执行，还有一个办法就是对数据库账号做权限限制，这样其它的恶意sql语句就不会执行了。

其它的几种sql注入也可以依次类推，时间有限我就不多讲了

下面介绍下第二个栏目 网络带宽耗尽

有很多资源下载站，甚至是普通站点一个下载资源被提交到迅雷的数据库中，就导致大面积迅雷从该网站下载，一般普通站点也就是几兆带宽，迅雷这样一下载，网站就显得奇慢无比，甚至不能打开网站。

那么有没有好的解决方案可以防止类似事情发生呢，答案是肯定的。

讲座全文 见 http://www.20ju.com/content/V88650.htm

文章来源：草根网 ，草根网其他分站：资料下载 |  物流公司 | 论坛 | 创业板 | 活动 | 图书