資源描述:
《web的安全威脅與安全防護(hù)已取》由會員上傳分享�,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1�、Web的安全威脅與安全防護(hù)一、引言隨著Internet的普及�,人們對其依賴也越來越強(qiáng),但是由于Internet的開放性�,及在設(shè)計(jì)時對于信息的保密和系統(tǒng)的安全考慮不完備,造成現(xiàn)在網(wǎng)絡(luò)的攻擊與破壞事件層出不窮��,給人們的日常生活和經(jīng)濟(jì)活動造成了很大麻煩��。WWW服務(wù)作為現(xiàn)今Internet上使用的最廣泛的服務(wù)���,Web站點(diǎn)被黑客入侵的事件屢有發(fā)生��,Web安全問題已引起人們的極大重視����。二�、Web的安全威脅來自網(wǎng)絡(luò)上的安全威脅與攻擊多種多樣���,依照Web訪問的結(jié)構(gòu)����,可將其分類為對Web服務(wù)器的安全威脅、對Web
2�、客戶機(jī)的安全威脅和對通信信道的安全威脅三類。(一)對Web服務(wù)器的安全威脅對于Web服務(wù)器����、服務(wù)器的操作系統(tǒng)、數(shù)據(jù)庫服務(wù)器都有可能存在漏洞�����,惡意用戶都有可能利用這些漏洞去獲得重要信息�。Web服務(wù)器上的漏洞可以從以下幾方面考慮:1、在Web服務(wù)器上的機(jī)密文件或重要數(shù)據(jù)(如存放用戶名�、口令的文件)放置在不安全區(qū)域,被入侵后很容易得到����。2、在Web數(shù)據(jù)庫中����,保存的有價值信息(如商業(yè)機(jī)密數(shù)據(jù)���、用戶信息等),如果數(shù)據(jù)庫安全配置不當(dāng)����,很容易泄密。3�、Web服務(wù)器本身存在一些漏洞,能被黑客利用侵入到系統(tǒng)���,破壞
3�、一些重要的數(shù)據(jù)�,甚至造成系統(tǒng)癱瘓。4���、程序員的有意或無意在系統(tǒng)中遺漏Bugs給非法黑客創(chuàng)造條件��。用CGI腳本編寫的程序中的自身漏洞��。(二)對Web客戶機(jī)的安全威脅現(xiàn)在網(wǎng)頁中的活動內(nèi)容已被廣泛應(yīng)用�����,活動內(nèi)容的不安全性是造成客戶端的主要威脅����。網(wǎng)頁的活動內(nèi)容是指在靜態(tài)網(wǎng)頁中嵌入的對用戶透明的程序��,它可以完成一些動作�����,顯示動態(tài)圖像�����、下載和播放音樂�����、視頻等��。當(dāng)用戶使用瀏覽器查看帶有活動內(nèi)容的網(wǎng)頁時�����,這些應(yīng)用程序會自動下載并在客戶機(jī)上運(yùn)行�,如果這些程序被惡意使用,可以竊取、改變或刪除客戶機(jī)上的信息�。主要用到
4、JavaApplet和ActiveX技術(shù)�。JavaApplet使用Java語言開發(fā),隨頁面下載���,Java使用沙盒(Sandbox)根據(jù)安全模式所定義的規(guī)則來限制JavaApplet的活動�,它不會訪問系統(tǒng)中規(guī)定安全范圍之外的程序代碼�����。但事實(shí)上Java10Applet存在安全漏洞���,可能被利用進(jìn)行破壞�。ActiveX是微軟的一個控件技術(shù)����,它封裝由網(wǎng)頁設(shè)計(jì)者放在網(wǎng)頁中來執(zhí)行特定的任務(wù)的程序,可以由微軟支持的多種語言開發(fā)但只能運(yùn)行在Windows平臺��。ActiveX在安全性上不如JavaApplet�����,一旦
5、下載����,能像其他程序一樣執(zhí)行,訪問包括操作系統(tǒng)代碼在內(nèi)的所有系統(tǒng)資源���,這是非常危險的。Cookie是Netscape公司開發(fā)的��,用來改善HTTP的無狀態(tài)性����。無狀態(tài)的表現(xiàn)使得制造像購物車這樣要在一定時間內(nèi)記住用戶動作的東西很難。Cookie實(shí)際上是一段小消息��,在瀏覽器第一次連接時由HTTP服務(wù)器送到瀏覽器端�����,以后瀏覽器每次連接都把這個Cookie的一個拷貝返回給Web服務(wù)器�����,服務(wù)器用這個Cookie來記憶用戶和維護(hù)一個跨多個頁面的過程影像��。Cookie不能用來竊取關(guān)于用戶或用戶計(jì)算機(jī)系統(tǒng)的信息,它們
6����、只能在某種程度上存儲用戶的信息,如計(jì)算機(jī)名字��、IP地址�、瀏覽器名稱和訪問的網(wǎng)頁的URL等。所以��,Cookie是相對安全的�。(三)對通信信道的安全威脅Internet是連接Web客戶機(jī)和服務(wù)器通信的信道,是不安全的��。像Sniffer這樣的嗅探程序����,可對信道進(jìn)行偵聽,竊取機(jī)密信息��,存在著對保密性的安全威脅���。未經(jīng)授權(quán)的用戶可以改變信道中的信息流傳輸內(nèi)容���,造成對信息完整性的安全威脅�����。此外�,還有像利用拒絕服務(wù)攻擊����,向網(wǎng)站服務(wù)器發(fā)送大量請求造成主機(jī)無法及時響應(yīng)而癱瘓,或者發(fā)送大量的IP數(shù)據(jù)包來阻塞通信信道��,
7����、使網(wǎng)絡(luò)的速度便緩慢���。三����、Web的安全防護(hù)技術(shù)(一)Web客戶端的安全防護(hù)Web客戶端的防護(hù)措施���,重點(diǎn)對Web程序組件的安全進(jìn)行防護(hù)��,嚴(yán)格限制從網(wǎng)絡(luò)上任意下載程序并在本地執(zhí)行�。可以在瀏覽器進(jìn)行設(shè)置�,如MicrosoftInternetExplorer的Internet選項(xiàng)的高級窗口中將Java相關(guān)選項(xiàng)關(guān)閉。在安全窗口中選擇自定義級別����,將ActiveX組件的相關(guān)選項(xiàng)選為禁用。在隱私窗口中根據(jù)需要選擇Cookie的級別���,也可以根據(jù)需要將c:windowscookie下的所有Cookie相關(guān)文件刪除
8�����、���。(二)通信信道的安全防護(hù)通信信道的防護(hù)措施,可在安全性要求較高的環(huán)境中��,利用HTTPS協(xié)議替代HTTP協(xié)議����。利用安全套接層協(xié)議SSL保證安全傳輸文件,SSL通過在客戶端瀏覽器軟件和Web服務(wù)器之間建立一條安全通信信道���,實(shí)現(xiàn)信息在Internet中傳送的保密性和完整性���。但SSL會造成Web服務(wù)器性能上的一些下降����。(三)Web服務(wù)器端的安全防護(hù)10限制在Web服務(wù)器中賬戶數(shù)量��,對在Web服務(wù)器上建立的賬戶�,在口令長度及定期更改方面作出要求,防止被盜用�����。Web服務(wù)器本身會存在一些安全上的漏洞�����,需要及
