计算机网络安全技术- 课件 王艳军 第8章 Web应用安全.pptx

Web应用的安全实现方法

一、Web应用的安全实现方法这种解决方案是将安全服务直接嵌入到应用程序中，从而在应用层实现通信安全。PGP系统就是在应用层实现Web安全的例子，它可以提供机密性、完整性和不可否认性，以及认证等安全服务。目前，很多安全厂商已经开发了专门针对Web应用的安全产品，即Web应用防火墙（WebApplicationFirewall，WAF），其也被称为网站应用级入侵防御系统、Web应用防护系统。利用国际上公认的一种说法，Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来为Web应用提供专门保护的一款产品。同时，Web应用防火墙还具有多面性的特点。如从网络入侵检测的角度来看，可以把WAF看作运行在HTTP层上的入侵检测系统（IntrusionDetectionSystem，IDS）设备；从防火墙角度来看，WAF是一种防火墙的功能模块；还有人把WAF看作深度检测防火墙的增强版。WAF对HTTPS进行双向深层次检测，对于来自Internet的攻击进行实时防护，避免黑客利用应用层漏洞非法获取或破坏网站数据，可以有效地抵御黑客的各种攻击，如结构化查询语言（StructuredQueryLanguage，SQL）注入攻击、XSS攻击、缓冲区溢出攻击、应用层拒绝服务/分布式拒绝服务攻击等；同时，对Web服务器响应的出错信息、恶意内容及不合规格内容进行实时过滤，避免敏感信息泄露，确保网站信息的可靠性。1．基于应用层实现Web安全

一、Web应用的安全实现方法安全套接字协议(SecureSocketsLayer，SSL)就是一种常见的基于传输层实现Web安全的解决方案。SSL协议提供的安全服务采用了对称加密和公钥加密两种加密机制，对Web服务器端和客户端的通信提供了机密性、完整性和认证服务。SSL协议在应用层协议通信之前，就已经完成加密算法、通信密钥的协商及服务器认证工作。在此之后，应用层协议所传输的数据都会被加密，从而保证了通信的安全。2．基于传输层实现Web安全

一、Web应用的安全实现方法传统的安全体系一般建立在应用层上，但是由于在网络层的IP数据包本身不具备任何安全特性，很容易被查看、篡改、伪造和重播，因此存在很大的安全隐患，而基于网络层的Web安全技术能够很好地解决这一问题。IPSec可提供基于端到端的安全机制，可以在网络层上对数据包进行安全处理，以保证数据的机密性和完整性。这样各种应用层的程序就可以享用IPSec提供的安全服务和密钥管理，而不必设计和实现自己的安全机制，因此减少了密钥协商的开销，降低了产生安全漏洞的可能性。3．基于网络层实现Web安全

感谢您的观看主讲崔升广ThankYOU!

Web服务器软件的安全威胁主讲崔升广

一、Web服务器软件的安全威胁Web服务器软件成为攻击者攻击Web应用主要原因有以下几个方面。（1）Web服务器软件存在安全漏洞。（2）Web服务器管理员在配置Web服务器时存在不安全配置。（3）在Web服务器的管理上没有做好安全配置。如没有做到定期下载安全补丁、选用了从网上下载的简单的Web服务器软件、没有进行严格的口令管理等。

一、Web服务器软件的安全威胁虽然现在针对Web服务器软件的攻击行为相对减少，但是仍然存在，下面列举几类目前比较常见的Web服务器软件安全漏洞。（1）源代码泄露安全漏洞。通过这类漏洞，渗透攻击人员能够查看到没有防护措施的Web服务器上的应用程序源代码，甚至可以利用这些漏洞查看到系统级的文件，如经典的IIS上的“+.hr”漏洞。（2）服务器功能扩展模块漏洞。Web服务器软件可以通过一些功能扩展模块来为核心的HTTP引擎增加其他功能，如IIS的索引服务模块可以启动站点检索功能。和Web服务器软件相比，这些功能扩展模块的编写质量要差很多，因此存在更多的安全漏洞。（3）资源解析安全漏洞。Web服务器软件在处理资源请求时，需要将同一资源的不同表示方式解析为标准化名称，这个过程称为资源解析。IISUnicode解析错误漏洞就是一个典型的例子，IIS4.0/5.0在Unicode字符解码的实现中存在安全漏洞，用户可以利用该漏洞通过IIS远程执行任意命令。（4）数据驱动的远程代码执行安全漏洞。针对这类漏洞的攻击行为包括缓冲区溢出、不安全指针、格式化字符等远程渗透攻击。通过这类漏洞，攻击者能在Web服务器上直接获得远程代码的执行权限，并能以较高的权限执行命令。IIS服务器在6.0以前的多个版本中就存在大量这种安全漏洞，如著名的数据块编码堆溢出漏洞等。IIS6.0以后的版本虽然在安全性方面有了大幅度的提升，但是仍存在这类安全漏洞。通过上面介绍的这些Web服务器软件安全漏洞，攻击者可以在Web服务器软件层面