資源描述:
《web的安全威脅與安全防護(烏蘭圖雅)已取》由會員上傳分享,免費在線閱讀��,更多相關內(nèi)容在行業(yè)資料-天天文庫����。
1����、Web的安全威脅與安全防護一����、引言隨著Internet的普及�,人們對其依賴也越來越強��,但是由于Internet的開放性�����,及在設計時對于信息的保密和系統(tǒng)的安全考慮不完備,造成現(xiàn)在網(wǎng)絡的攻擊與破壞事件層出不窮�,給人們的日常生活和經(jīng)濟活動造成了很大麻煩����。WWW服務作為現(xiàn)今Internet上使用的最廣泛的服務,Web站點被黑客入侵的事件屢有發(fā)生����,Web安全問題已引起人們的極大重視��。二、Web的安全威脅來自網(wǎng)絡上的安全威脅與攻擊多種多樣����,依照Web訪問的結(jié)構(gòu)�,可將其分類為對Web服務器的安全威脅���、對Web客戶機的安全威脅和對通信信道的安
2��、全威脅三類�。(一)對Web服務器的安全威脅對于Web服務器����、服務器的操作系統(tǒng)�、數(shù)據(jù)庫服務器都有可能存在漏洞,惡意用戶都有可能利用這些漏洞去獲得重要信息����。Web服務器上的漏洞可以從以下幾方面考慮:1��、在Web服務器上的機密文件或重要數(shù)據(jù)(如存放用戶名、口令的文件)放置在不安全區(qū)域��,被入侵后很容易得到。2����、在Web數(shù)據(jù)庫中,保存的有價值信息(如商業(yè)機密數(shù)據(jù)�、用戶信息等)��,如果數(shù)據(jù)庫安全配置不當,很容易泄密。3�、Web服務器本身存在一些漏洞����,能被黑客利用侵入到系統(tǒng)��,破壞一些重要的數(shù)據(jù),甚至造成系統(tǒng)癱瘓����。4、程序員的有意或無意在系統(tǒng)中
3��、遺漏Bugs給非法黑客創(chuàng)造條件�����。用CGI腳本編寫的程序中的自身漏洞�����。(二)對Web客戶機的安全威脅現(xiàn)在網(wǎng)頁中的活動內(nèi)容已被廣泛應用,活動內(nèi)容的不安全性是造成客戶端的主要威脅���。網(wǎng)頁的活動內(nèi)容是指在靜態(tài)網(wǎng)頁中嵌入的對用戶透明的程序�����,它可以完成一些動作�����,顯示動態(tài)圖像����、下載和播放音樂、視頻等。當用戶使用瀏覽器查看帶有活動內(nèi)容的網(wǎng)頁時����,這些應用程序會自動下載并在客戶機上運行,如果這些程序被惡意使用����,可以竊取�����、改變或刪除客戶機上的信息。主要用到JavaApplet和ActiveX技術�。JavaApplet使用Java語言開發(fā),隨頁面下載����,
4、Java使用沙盒(Sandbox)根據(jù)安全模式所定義的規(guī)則來限制JavaApplet的活動��,它不會訪問系統(tǒng)中規(guī)定安全范圍之外的程序代碼��。但事實上JavaApplet存在安全漏洞��,可能被利用進行破壞。ActiveX是微軟的一個控件技術����,它封裝由網(wǎng)頁設計者放在網(wǎng)頁中來執(zhí)行特定的任務的程序,可以由微軟支持的多種語言開發(fā)但只能運行在Windows平臺�。ActiveX在安全性上不如JavaApplet,一旦下載��,能像其他程序一樣執(zhí)行�,訪問包括操作系統(tǒng)代碼在內(nèi)的所有系統(tǒng)資源,這是非常危險的���。Cookie是Netscape公司開發(fā)的����,用來改
5、善HTTP的無狀態(tài)性�。無狀態(tài)的表現(xiàn)使得制造像購物車這樣要在一定時間內(nèi)記住用戶動作的東西很難。Cookie實際上是一段小消息,在瀏覽器第一次連接時由HTTP服務器送到瀏覽器端,以后瀏覽器每次連接都把這個Cookie的一個拷貝返回給Web服務器����,服務器用這個Cookie來記憶用戶和維護一個跨多個頁面的過程影像�。Cookie不能用來竊取關于用戶或用戶計算機系統(tǒng)的信息����,它們只能在某種程度上存儲用戶的信息�,如計算機名字��、IP地址��、瀏覽器名稱和訪問的網(wǎng)頁的URL等。所以,Cookie是相對安全的����。(三)對通信信道的安全威脅Internet
6�����、是連接Web客戶機和服務器通信的信道,是不安全的。像Sniffer這樣的嗅探程序����,可對信道進行偵聽���,竊取機密信息,存在著對保密性的安全威脅���。未經(jīng)授權的用戶可以改變信道中的信息流傳輸內(nèi)容,造成對信息完整性的安全威脅�。此外��,還有像利用拒絕服務攻擊��,向網(wǎng)站服務器發(fā)送大量請求造成主機無法及時響應而癱瘓,或者發(fā)送大量的IP數(shù)據(jù)包來阻塞通信信道�,使網(wǎng)絡的速度便緩慢��。三���、Web的安全防護技術(一)Web客戶端的安全防護Web客戶端的防護措施����,重點對Web程序組件的安全進行防護�����,嚴格限制從網(wǎng)絡上任意下載程序并在本地執(zhí)行���?�?梢栽跒g覽器進行設置�,
7��、如MicrosoftInternetExplorer的Internet選項的高級窗口中將Java相關選項關閉�����。在安全窗口中選擇自定義級別,將ActiveX組件的相關選項選為禁用�����。在隱私窗口中根據(jù)需要選擇Cookie的級別���,也可以根據(jù)需要將c:windowscookie下的所有Cookie相關文件刪除��。(二)通信信道的安全防護通信信道的防護措施,可在安全性要求較高的環(huán)境中,利用HTTPS協(xié)議替代HTTP協(xié)議���。利用安全套接層協(xié)議SSL保證安全傳輸文件�,SSL通過在客戶端瀏覽器軟件和Web服務器之間建立一條安全通信信道��,實現(xiàn)信息
8�����、在Internet中傳送的保密性和完整性。但SSL會造成Web服務器性能上的一些下降�。(三)Web服務器端的安全防護限制在Web服務器中賬戶數(shù)量����,對在Web服務器上建立的賬戶����,在口令長度及定期更改方面作出要求,防止被盜用���。Web服務器本身會存在一些安全上的漏洞����,需要及時進行版
