2016年8月18日下午2点，中睿信息在深圳举行了《软件安全设计与开发》的技术沙龙，本次活动也圆满地落下了帷幕。
 昨日，中睿信息鹿老师协同工作人员，就《软件安全设计与开发》展开了本次活动沙龙，活动期间，鹿老师向广大来宾讲了几种常见的Web攻击技术以及如何避免的方法。

本次活动的高潮出现在攻防演习过程，现场来宾聚精会神地听着，这种情形大概只有在看魔术表演才有吧。现在我们来回顾一下攻防演练现场。

SQL注入攻防演练
有些黑客想要获得服务器的操作权限或者让别的用户执行恶意的代码，就会在有URL地址输入或者文本输入的地方，通过手段注入SQL，获取服务器端数据库的内容，然后进行数据库内容的修改，是一种通用的攻击手段。
现场鹿老师通过实例向大家演示了SQL注入的方式以及防范的方法。

XSS（跨站脚攻击）攻防演练

XSS与SQL注入攻击类似，与SQL注入区别的是，XSS通过插入恶意脚本，实现对用户浏览器的控制，可持久攻击用户浏览器，达到目的。现场演练了两种攻击实例。

CSRF攻防演练
CSRF是一种广泛存在的网站漏洞，被列为最危险的25个编程错误之一，由于CSRF攻击未必需要脚本语言，比XSS攻击更加方便，现在很多站点仍对CSRF这类漏洞防不胜防，被安全界称为“沉睡的巨人”。
相信大部分人都有受到这种攻击，比如QQ号啊微博啊淘宝账户等被盗取了，CSRF造成的后果就是个人隐私泄露以及财产安全。本次活动现场也对CSRF攻击做重点实例展示和原因分析以及防范措施的分享。

网络钓鱼攻击
“钓鱼攻击”是指利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动，受骗者往往会泄露自己的敏感数据，如信用卡号、用户名、密码和email地址等内容。在所有接触诈骗信息的用户中，有高达5%的人有经历过这种攻击。

中睿信息鹿老师提醒大家，任何网络技术工作人员，不能用所学的技术技能去攻击别人的系统，这样做是违法的；技术人员应该了解安全测试技术，目的是防范我们的系统免遭攻击。
在知道了这么多Web应用漏洞，我们是不是就只能任人宰割？
答案是否定的！

我们有办法减少危险的攻击甚至不受攻击，前期是我们有一个安全的开发过程，将安全隐患消灭在萌芽状态。

在进行了漏洞分析和攻防演练之后，活动进入本次活动的真正目的，鹿老师现场与来宾分享了信息安全的需求、软件安全设计的原则和应用开发过程中应该注意的安全事项。
至此，活动已进入尾声，当然也少不了现场的答疑环节。

在信息技术不断普及的今天，信息安全技术显得日益重要。现今，软件安全性已经成为一个越来越不容忽视的问题。新的Web攻击手法层出不穷，Web应用程序面临的安全形势日益严峻。在软件和信息系统的开发过程中，由于技术难度高，项目复杂，开发周期短而带来的一系列困难，潜伏安全性隐患的几率其实是很大的。很多软件开发的组织由于没有掌握和利用必要的控制软件安全性的技术，无法妥善解决相应的问题，把时间耗费在事后补救上，使得开发的效率大为降低，产品质量大打折扣，甚至因为某个关键错误的发生，导致产品的信誉度降低，更严重则会导致生命财产安全的损失。
在此中睿信息呼吁广大用户、网络和安全管理人员，要重视安全产品和技术，更要重视安全流程管理和组织体系以及内部培训，将安全隐患消灭在萌芽状态。

本资讯由中睿信息（www.itlead.com.cn）编辑整理发布。