- 1、本文档共36页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
网络安全与管理——第8讲Web安全
第6章 Web安全 (1) 本章学习目标 Web服务的安全威胁; Web服务器的安全漏洞; 如何对Web服务器进行安全配置; Web客户安全性; SSL原理及应用; SET原理。 6.1 Web安全概述 6.1.1 Web服务 6.1.2 Web服务面临的安全威胁 6.1.1 Web服务 WWW是World Wide Web的英文缩写,译为“万维网”,是Internet的一种最有活力的服务形式,也称为Web服务。 WWW提供的信息形象、丰富,支持多媒体信息服务,是组织机构、个人在网上发布信息的主要形式。 用户使用基于图形界面的浏览器访问WWW服务,易学易用,只要点击鼠标,就能进入引人入胜的网上世界,获取丰富多彩的信息。 广泛使用的HTTP服务器:W3C、NCSA、Apache、IIS;客户端浏览器:Microsoft Internet Explorer(IE)、Mozilla Firefox、 Netscape Navigator。 6.1.1 Web服务 WWW基于客户机/服务器模式,其中客户机就是Web浏览器,服务器指的是Web服务器。 使用HTTP协议,是Web应用的核心协议,属于应用层,默认端口80。 6.1.2 Web服务面临的安全威胁 由于HTTP协议允许远程用户对服务器的通信请求,并且允许用户在远程执行命令,这会危及Web服务器和客户端的安全 : 电子欺骗 以未经授权的方式模拟用户或进程,假装其他用户 一般可以通过严格的身份验证来防止 篡改 未经授权的情况下更改和删除资源 防止的主要方法是使用Windows安全性锁定文件、目录、和其他Windows资源 6.1.2 Web服务面临的安全威胁 否认 否认威胁是指隐藏攻击证据 防止方法:严格的身份验证,使用Windows的日志记录功能保存服务器上任何活动的审计追踪。 信息泄露 信息泄露指偷窃或泄露应该必威体育官网网址的信息 防止方法:身份验证防止未授权访问,加密。 6.1.2 Web服务面临的安全威胁 拒绝服务 拒绝服务指故意导致应用程序的可用性降低 防止方法:限制连接数,拒绝已知的恶意用户或IP,运行可靠的代码 特权升级 特权升级指使用恶意手段获取比正常分配的权限更多的权限 防止方法:尽可能在最少特权的上下文运行应用程序 6.2 Web的安全问题 6.2.1 Web服务器的安全漏洞 6.2.2 通用网关接口(CGI)的安全性 6.2.3 ASP与Access的安全性 6.2.4 Java与JavaScript的安全性 6.2.5 Cookies的安全性 6.2.1 Web服务器的安全漏洞 IIS服务器的安全问题 ISAPI(Intranet Server API)缓冲溢出漏洞 使用随机数据可使IIS服务器崩溃或主机重启 精心构造的数据可得到系统管理员权限 红色代码(Code Red)病毒 HTTP非标准数据问题 利用大量的特殊畸形HTTP请求头数据包,消耗服务器内存 拒绝服务攻击 IIS验证漏洞 攻击者将host头域置空,web服务器将返回内部地址 Apache服务器的安全问题 影响mod_cookie模块编译的服务器,攻击者将非常长的cookie传给服务器,导致系统堆栈溢出 影响自动目录列表 6.2.2 通用网关接口的安全性 应用背景: HTML语言只适用于编写静态的WWW服务,而通用网关接口(CGI,Common Gateway Interface)提供了动态服务,可以在用户和Web服务器之间交互式通信。 工作过程: 客户方CGI程序捕获用户输入,并把它传到服务器方应用程序,服务器方的CGI把这些信息传给应用程序,由它返回给客户系统更新Web页面和其他信息。 CGI程序的编写应注意的问题 防止修改PATH变量 使用完整路径调用命令 不要把当前目录放入路径里 6.2.2 通用网关接口的安全性 CGI脚本的激活方式 避开验证,利用直接请求URL激活脚本 http://wwwserver/cgi-bin/phf 不要依赖于隐藏变量的值 通过“查看”“源文件”可以查看 用户可以改变隐藏变量的值 CGI的权限问题(最低权限) CGI Script的安全性 会有意或无意地泄露主机系统信息,被黑客利用 处理远程用户输入的Script,可能被远程用户攻击 6.2.3 ASP与Access的安全性 ASP(Active Server Pages)作为一种典型的服务器端网页设计技术,被广泛地应用在网上银行、电子商务、有哪些信誉好的足球投注网站引擎等各种互联网应用中。 ASP+Access解决方案的主要安全隐患来自Access数据库的安全性;其次在于ASP网页设计过程中的安全
您可能关注的文档
最近下载
- 智能制造工程专业培养方案.PDF
- 新教材高中语文人教版选择性必修上册检测-第1单元测试卷-含解析.pdf VIP
- 检察院书记员测试题库及答案.pdf
- 2023年人民检察院公开招聘用制书记员考试题及答案.pdf VIP
- 中华民族现代文明有哪些鲜明特质建设中华民族现代文明的路径是什么.docx VIP
- 《旅行社计调业务》项目三任务3-4国内组团计调操作流程.ppt
- 全国青少年科技创新大赛样稿04附件研究日记6.pdf
- 机械维修合同范本5篇.docx VIP
- 2024年云南省三校生教育类模拟考试复习题库(刷题600题).docx
- 2023—2024学年湖南省五市十校教研教改共同体高二上学期期中联考数学试卷.doc VIP
文档评论(0)