1 / 26

第七章 WWW 安全性

第七章 WWW 安全性. 7 .1 HTTP 协议及 WWW 服务 7.2 WWW 服务器的安全性 7.3 Web 欺骗 7.4 WWW 客户安全性 7.5 增强 WWW 的安全性. 本章学习目标. 本章本章主要介绍了 WWW 的有关安全问题。通过本章学习,读者应该掌握以下内容: Web 与 HTTP 协议, HTTP 数据包的过滤特性和代理特性, Web 的访问控制, HTTP 的安全问题, S-HTTP 和 SSL 的简介,缓存的安全性; WWW 服务器的安全漏洞; NCSA 、 Apache 、 Netscape 的安全问题; CGI 程序的安全性问题;

arella
Download Presentation

第七章 WWW 安全性

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第七章 WWW安全性 • 7.1 HTTP协议及WWW服务 • 7.2 WWW服务器的安全性 • 7.3 Web欺骗 • 7.4 WWW客户安全性 • 7.5 增强WWW的安全性

  2. 本章学习目标 • 本章本章主要介绍了WWW的有关安全问题。通过本章学习,读者应该掌握以下内容: • Web与HTTP协议,HTTP数据包的过滤特性和代理特性,Web的访问控制,HTTP的安全问题,S-HTTP和SSL的简介,缓存的安全性; • WWW服务器的安全漏洞;NCSA、Apache、Netscape的安全问题; • CGI程序的安全性问题; • Plug-in的安全性问题; • Java与JavaScript的安全性问题; • Cookies的安全性; • ActiveX的安全性; • Web攻击的行为特点;与Web安全相关的决策; • WWW客户安全性; • 如何增强WWW的安全性; 返回本章首页

  3. 7.1 HTTP协议及WWW服务 • 7.1.1 HTTP协议及其安全性 • 7.1.2 Web的访问控制 • 7.1.3 安全超文本传输协议S-HTTP • 7.1.5 安全套接层SSL • 7.1.6 缓存的安全性 返回本章首页

  4. 7.1.1 HTTP协议及其安全性 • HTTP协议(Hypertext Transfer Protocol,超文本传输协议)是分布式的Web应用的核心技术协议,在TCP/IP协议栈中属于应用层。它定义了Web浏览器向Web服务器发送Web页面请求的格式,以及Web页面在Internet上的传输方式。 • HTTP协议允许远程用户对远程服务器的通信请求, • 这会危及Web服务器和客户的安全 • HTTP的另一个安全漏洞就是服务器日志。 返回本节

  5. 7.1.2 Web的访问控制 • IP地址并不能得到解析,因为客户机本地名字服务器配置可能不正确,这个时候HTTP服务器就伪造一个域名继续工作。 一旦Web服务器获得IP地址及相应客户的域名,便开始进行验证,来决定客户是否有权访问请求的文档。这其中隐含着安全漏洞。 • 可用一些方法来增强服务器的安全性 返回本节

  6. 7.1.3 安全超文本传输协议S-HTTP • S-HTTP(Secure Hyper Text Transfer Protocol)是保护Internet上所传输的敏感信息的安全协议。随着Internet和Web对身份验证的需求的日益增长,用户在彼此收发加密文件之前需要身份验证。S-HTTP协议也考虑了这种需要。 • S-HTTP的目标是保证蓬勃发展的商业交易的传输安全,因而推动了电子商务的发展。S-HTTP使Web客户和服务器均处于安全保护之下,其信息交换也是安全的。 返回本节

  7. 7.1.5 安全套接层SSL • SSL(Secure Sockets Layer)是Netscape公司设计和开发的,其目的在于提高应用层协议(如HTTP,Telnet,NNTP,FTP等)的安全性。SSL协议的功能包括:数据加密、服务器验证、信息完整性以及可选的客户TCP/IP连接验证。SSL的主要目的是增强通信应用程序之间的保密性和可靠性。 • SSL是两层协议,它依赖了一些可靠的传输协议 • SSL不同于S-HTTP之处在于后者是HTTP的超集,只限于Web • SSL 可以使用各种类型的加密算法和密钥验证机制 • 安全方案不仅仅只有SSL和S-HTIP 返回本节

  8. 7.1.6 缓存的安全性 • 缓存通过在本地磁盘中存储高频请求文件,从而大大提高Web服务的性能。不过,如果远程服务器上的文件更新了,用户从缓存中检索到的文件就有可能过时。而且,由于这些文件可由远程用户取得,因而可能暴露一些公众或外部用户不能读取的信息。 • HTTP服务器通过将远程服务器上文件的日期与本地缓存的文件日期进行比较可以解决这个问题。 返回本节

  9. 7.2 WWW服务器的安全性 • 7.2.1 WWW服务器的安全漏洞 • 7.2.2通用网关接口(CGI)的安全性 • 7.2.3 Plug-in的安全性 • 7.2.4 Java与JavaScript的安全性 • 7.2.5 Cookies的安全性 • 7.2.6 ActiveX的安全性 返回本章首页

  10. 7.2.1 WWW服务器的安全漏洞 • 1.NCSA服务器的安全漏洞 • 2.Apache WWW服务器的安全问题 • 3.Netscape的WWW服务器的安全问题 返回本节

  11. 7.2.2通用网关接口(CGI)的安全性 公共网关接口(CGI)提供了扩展Web页面功能的最灵活的方法。客户方CGI的编程用HTML标记,让窗口捕获用户的输入,并把它传到服务器方的应用程序,服务器方的CGI把这些信息传递给应用程序,由它返回给客户系统更新的Web页面和其他信息。 1.CGI程序的编写应注意的问题 2. CGI脚本的激活方式 3.不要依赖于隐藏变量的值 4. CGI的权限问题 返回本节

  12. 7.2.3 Plug-in的安全性 • 把任何一个命令行shell、解释器、宏处理器或脚本语言处理器作为一种文档类型的阅读器,都会受到Web上的攻击。 • 不要为任何可能包含可执行语句的文件声明任何外部阅读器。Java和安全Tcl这些脚本语言会检测到这个安全问题:它们可以防止那些危险的功能。 返回本节

  13. 7.2.4 Java与JavaScript的安全性 • 尽管名字上很相似,但Java与JavaScript之间毫无瓜葛。Java是Sun公司设计的一种语言。用Java编写的代码编译成一种紧凑的格式并存在连接的服务器端。JavaScript是Netscape公司设计的一系列HTML语言扩展,它增强了HTML语言的动态交互能力,并且可以把部分处理移到客户机,减轻服务器的负载。 • 1.Java applet的安全性的问题 • 2.JavaScript的安全性问题 返回本节

  14. 7.2.5 Cookies的安全性 • Cookie是Netscape公司开发的一种机制。用来改善HTTP协议的无状态性。 Cookie是一段很小的信息,通常只有一个短短的章节标记那么大。它是在浏览器第一次连接时由HTTP服务器送到浏览器的。以后,浏览器每次连接都把这个Cookie的一个拷贝返回给服务器。 • Cookie不能用来偷关于用户或用户的计算机系统的信息。但是大多数的Cookie是试图改善Web浏览体验的良性尝试,而不是侵犯隐私。 返回本节

  15. 7.2.6 ActiveX的安全性 • ActiveX是 Microsoft 公司开发的用来在Internet上分发软件的产品。 ActiveX控件有许多是为Microsoft Internet Explorer(目前唯一支持它们的浏览器)而做的, ActiveX的安全模型与Java applet有很大不同。 • ActiveX的授权过程保证ActiveX不能被匿名分发,并且控件在公布以后不会被第三者修改。 • ActiveX可以从Microsoft Internet Explorer的选项菜单里完全关闭。只要找到活跃内容一项并选择最安全选项即可实现关闭。 返回本节

  16. 7.3 Web欺骗 • 7.3.1 Web攻击的行为和特点 • 7.3.2 攻击的原理和过程 返回本章首页

  17. 7.3.1 Web攻击的行为和特点 • Web欺骗是指攻击者建立一个使人相信的 、Web页站点的拷贝,这个假的Web站点拷贝就像真的一样:它具有所有的页面和连接。然而攻击者控制了这个假的Web页,被攻击对象和真的Web站点之间的所有信息流动都被攻击者所控制了。 • 攻击者可以监视和控制整个过程 • 1.静态地观察 • 2.实施破坏 • 3.攻击的简单性 返回本节

  18. 攻击者的伪Web服务器 Web服务器 受骗用户 7.3.2 攻击的原理和过程 • 攻击的关键在于攻击者的Web服务器能够插在浏览者和其他的Web之间 • 1.改写URL • 2.开始攻击 • 3.制造假象 返回本节

  19. 7.4 WWW客户安全性 7.4.1防范恶意代码 7.4.2 隐私侵犯 返回本章首页

  20. 7.4.1防范恶意代码 2.采取防范措施,杜绝恶意代码 (1) 管住自己 (2) 禁用ActiveX插件、控件和Java脚本 (3) 安装防病毒软件 (4) 注册表加锁 (5) 对Win2000用户,禁用远程注册表操作服务 (6)升级IE为IE6.0以上版本 (7)下载微软最新的Microsoft Windows Script 5.6 (8) 避免重蹈覆辙 1.几种清除恶意代码的方法 (1)解开被禁用的注册表 (2)解决IE属性主页不能修改 (3) 修改IE的标题栏 (4)IE默认连接首页的修改 (5)右键菜单中的网页广告 返回本节

  21. 7.4.2 隐私侵犯 • 广泛使用的英特网技术已经引起了许多个人隐私方面的问题,它还会在将来发展的过程中对个人自由的许多方面带来意想不到的问题。涉及到一个个人隐私权的尊重与保护和公共安全之间的冲突问题。需要指出的是,并不是在任何时候保护公共安全的需要都应当优先于保护和尊重个人隐私权的需要。 • 1.网上数据搜集的方法 • 2.网上数据搜集对个人隐私可能造成的侵害 返回本节

  22. 7.5 增强WWW的安全性 • 7.5.1 WWW安全建议 • 7.5.2 Web保护方法 • 7.5.3 Web服务器的安全措施 返回本章首页

  23. 7.5.1 WWW安全建议 • 尽可能使用一台专用堡垒主机 ,应仔细配置服务器来控制它访问的东西;特别要注意某人会设法向系统装载程序 ,然后通过HTTP服务器来执行。 • 在没有允许内部主机访问所有TCP端口的情况下,不能允许它们访问所有HTTP服务器 。代理HTTP • 使用一个高速缓存代理服务器即可。这样既有利于扩展网络宽度,又有利于安全。 返回本节

  24. 7.5.2 Web保护方法 • 虽然Web欺骗是危险的和几乎不可察觉的,然而还是可以采用下面的一些方法进行保护。 • 1.跟踪攻击者 • 可以使用网络监听或用netstat之类的工具找到攻击者所用的服务器 • 2.短期的解决方法 • (1) 关闭浏览器的JavaScript,使得攻击者不能隐藏攻击的迹象。 • (2) 确信你的浏览器的地址行总是可见的。 • (3) 留意浏览器地址行上显示的URL,确信它们一定是指向所想的服务器。3.长期办法 • 访问限制方法: IP地址、子网、域的限制 ;用户名和密码;加密 返回本节

  25. 7.5.3 Web服务器的安全措施 • 限制IP地址可以提供一定程序的安全性,但并不能阻止黑客攻击站点。 • 比较理想的方法是,对IP地址的限制与其他一些验证方法,如检查用户名和密码等,结合起来。 • 运行Web服务器可以采取的一些基本安全手段 • (1) 保证注册账户的时效性。 • (2) 删除死账户。 • (3) 强制用户登录时使用好的密码 • (4) 不要保留不用的服务。 • (5)有不用的shell或解释程序,则删除它们。 • (6)定期检查系统和Web记录以发现可疑活动。 • (7) 检查系统文件的权限设置是否正确。 返回本节

  26. THANK YOU VERY MUCH ! • 本章到此结束, • 谢谢您的光临! 返回本章首页 结 束放映

More Related