1 / 29

一个安全工程师眼里的搜索引擎安全

一个安全工程师眼里的搜索引擎安全. 剑心. 目录. 自我介绍 搜索引擎安全剖析 搜索引擎安全模型探讨 Q/A. 自我介绍. 跨站师, web 渗透师,业务渗透手 戴着镣铐跳舞的黑客实用主义者 80sec/ wooyun 创始人 百度安全工程师. 我们的方式. Know it Then hack it. 什么是搜索引擎. 产品:帮助网民更快更好的找到所求 业务:以流量平台提供付费广告业务. 什么是搜索引擎安全. 产品:被人攻击和利用从而传播虚假及欺诈的有害信息 业务:被人攻击和利用从而产生虚假及欺诈的广告流量. 搜索引擎安全本质. 流量安全

nissim-lambert
Download Presentation

一个安全工程师眼里的搜索引擎安全

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 一个安全工程师眼里的搜索引擎安全 剑心

  2. 目录 • 自我介绍 • 搜索引擎安全剖析 • 搜索引擎安全模型探讨 • Q/A

  3. 自我介绍 • 跨站师,web渗透师,业务渗透手 • 戴着镣铐跳舞的黑客实用主义者 • 80sec/wooyun创始人 • 百度安全工程师

  4. 我们的方式 • Know it • Then hack it

  5. 什么是搜索引擎 • 产品:帮助网民更快更好的找到所求 • 业务:以流量平台提供付费广告业务

  6. 什么是搜索引擎安全 • 产品:被人攻击和利用从而传播虚假及欺诈的有害信息 • 业务:被人攻击和利用从而产生虚假及欺诈的广告流量

  7. 搜索引擎安全本质 • 流量安全 • 黑色流量(完全恶意的主动利用搜索引擎作恶的虚假,诈骗流量) • 灰色流量(可能主动或者被动的产生的一些违反规则的流量,如spam信息,黄反信息,恶意点击信息) • 白色流量(完全合法正常的流量,也是占主要部分的流量)

  8. 某安全公司定义的恶意网站

  9. 几个案例 • 借助广告推广虚假有害信息

  10. 几个案例 • 借助广告推广虚假钓鱼信息

  11. 几个案例 • 借助自然搜索结果推送虚假内容

  12. 几个案例 • 借助自然搜索结果推送虚假内容

  13. 搜索引擎安全本质

  14. 搜索引擎安全的特殊性 • 产业性 • 直接成型的经济利益链导致参与人员众多,甚至可能包括内部人员;分工明确; • 长期性 • 利益的长期存在会导致长期的对抗存在;可能转移到其他公司也可能从其他公司转移到我们公司;随着核心黑产的变化也会变化 • 不对等性 • 对抗导致的情况是以业务的思维对抗黑色产业的思维,信息并不平等,效果并不理想

  15. 几个案例

  16. 几个案例

  17. 我们的对手 • 比我们人多 • 比我们聪明 • 比我们有钱

  18. 安全工程师视角 • 搜索安全问题本质 • 利益问题而不是技术问题 • 搜索安全对抗本质 • 看行业本质而不是技术本质 • 利益成本的对抗而不是技术对抗 • 防人而不是防技术 • 建立游戏规则而不是顺从游戏规则

  19. 理想的业务安全模型

  20. 黑色行业数据库 • 黑色行业 • 帮助我们及时更新了解黑色流量的动向和掌握黑色从业者信息 • 黑色从业者 • 帮助我们及时判断流量的合法性和掌握黑色行业信息

  21. 如何建立黑色行业数据库 • 恶意行业业务流 • 注册,网站,选词,创意,上线,点击 • 恶意行业指纹 • 用户资质(注册者,代理商,账户信息,银行身份证信息) • 网站内容(IDC,域名信息,内容分析) • 广告内容(广告,创意内容) • 操作行为(测试行为,推广行为)

  22. 一些例子 • 注册阶段 • 对明确恶意关键词(已知数据库)进行监控

  23. 一些例子 • 网站内容 • 对广告主所有网站内容和运营信息进行监控

  24. 一些例子 • 广告创意 • 对用户尝试进行上线的广告进行监控

  25. 一些例子 • 监控,控制和对抗 • 对已知信息的深度挖掘,譬如网站属主信息

  26. 一些例子 • 监控,控制和对抗 • 对已知信息的深度挖掘,譬如广告主信息

  27. 一些例子 • 监控,控制和对抗 • 对已知信息的深度挖掘,譬如广告主ip信息

  28. 黑色行业数据库使用 • 业务 • 打击将导致攻击目标转向产品,如六合彩,窃听器,中奖 • 产品 • 借助业务的积累可以更好识别非法流量 • 行业 • 打击将可能导致可能的欺诈转向其他平台

  29. Q/A • 

More Related