資源描述:
《web的安全威脅與安全防護(hù)(烏蘭圖雅)已取》由會(huì)員上傳分享����,免費(fèi)在線(xiàn)閱讀���,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)��。
1����、Web的安全威脅與安全防護(hù)一�、引言隨著Internet的普及,人們對(duì)其依賴(lài)也越來(lái)越強(qiáng)�,但是由于Internet的開(kāi)放性,及在設(shè)計(jì)時(shí)對(duì)于信息的保密和系統(tǒng)的安全考慮不完備,造成現(xiàn)在網(wǎng)絡(luò)的攻擊與破壞事件層出不窮��,給人們的日常生活和經(jīng)濟(jì)活動(dòng)造成了很大麻煩����。WWW服務(wù)作為現(xiàn)今Internet上使用的最廣泛的服務(wù),Web站點(diǎn)被黑客入侵的事件屢有發(fā)生�����,Web安全問(wèn)題已引起人們的極大重視����。二、Web的安全威脅來(lái)自網(wǎng)絡(luò)上的安全威脅與攻擊多種多樣��,依照Web訪(fǎng)問(wèn)的結(jié)構(gòu)���,可將其分類(lèi)為對(duì)Web服務(wù)器的安全威脅���、對(duì)Web客戶(hù)機(jī)的安全威脅和對(duì)通信信道的安全威脅三類(lèi)��。(一)對(duì)Web服務(wù)器的安全
2���、威脅對(duì)于Web服務(wù)器�、服務(wù)器的操作系統(tǒng)、數(shù)據(jù)庫(kù)服務(wù)器都有可能存在漏洞�,惡意用戶(hù)都有可能利用這些漏洞去獲得重要信息。Web服務(wù)器上的漏洞可以從以下幾方面考慮:1���、在Web服務(wù)器上的機(jī)密文件或重要數(shù)據(jù)(如存放用戶(hù)名�����、口令的文件)放置在不安全區(qū)域�����,被入侵后很容易得到��。2�����、在Web數(shù)據(jù)庫(kù)中�����,保存的有價(jià)值信息(如商業(yè)機(jī)密數(shù)據(jù)��、用戶(hù)信息等)�,如果數(shù)據(jù)庫(kù)安全配置不當(dāng),很容易泄密�。3���、Web服務(wù)器本身存在一些漏洞���,能被黑客利用侵入到系統(tǒng)����,破壞一些重要的數(shù)據(jù)���,甚至造成系統(tǒng)癱瘓����。4���、程序員的有意或無(wú)意在系統(tǒng)中遺漏Bugs給非法黑客創(chuàng)造條件���。用CGI腳本編寫(xiě)的程序中的自身漏洞。(二)對(duì)
3�����、Web客戶(hù)機(jī)的安全威脅現(xiàn)在網(wǎng)頁(yè)中的活動(dòng)內(nèi)容已被廣泛應(yīng)用�����,活動(dòng)內(nèi)容的不安全性是造成客戶(hù)端的主要威脅���。網(wǎng)頁(yè)的活動(dòng)內(nèi)容是指在靜態(tài)網(wǎng)頁(yè)中嵌入的對(duì)用戶(hù)透明的程序����,它可以完成一些動(dòng)作����,顯示動(dòng)態(tài)圖像、下載和播放音樂(lè)�、視頻等。當(dāng)用戶(hù)使用瀏覽器查看帶有活動(dòng)內(nèi)容的網(wǎng)頁(yè)時(shí)�,這些應(yīng)用程序會(huì)自動(dòng)下載并在客戶(hù)機(jī)上運(yùn)行,如果這些程序被惡意使用���,可以竊取�����、改變或刪除客戶(hù)機(jī)上的信息��。主要用到JavaApplet和ActiveX技術(shù)�����。JavaApplet使用Java語(yǔ)言開(kāi)發(fā)����,隨頁(yè)面下載,Java使用沙盒(Sandbox)根據(jù)安全模式所定義的規(guī)則來(lái)限制JavaApplet的活動(dòng)���,它不會(huì)訪(fǎng)問(wèn)系統(tǒng)中規(guī)定安
4���、全范圍之外的程序代碼。但事實(shí)上JavaApplet存在安全漏洞���,可能被利用進(jìn)行破壞���。ActiveX是微軟的一個(gè)控件技術(shù),它封裝由網(wǎng)頁(yè)設(shè)計(jì)者放在網(wǎng)頁(yè)中來(lái)執(zhí)行特定的任務(wù)的程序���,可以由微軟支持的多種語(yǔ)言開(kāi)發(fā)但只能運(yùn)行在Windows平臺(tái)�����。ActiveX在安全性上不如JavaApplet����,一旦下載���,能像其他程序一樣執(zhí)行�,訪(fǎng)問(wèn)包括操作系統(tǒng)代碼在內(nèi)的所有系統(tǒng)資源����,這是非常危險(xiǎn)的。Cookie是Netscape公司開(kāi)發(fā)的�����,用來(lái)改善HTTP的無(wú)狀態(tài)性�。無(wú)狀態(tài)的表現(xiàn)使得制造像購(gòu)物車(chē)這樣要在一定時(shí)間內(nèi)記住用戶(hù)動(dòng)作的東西很難。Cookie實(shí)際上是一段小消息����,在瀏覽器第一次連接時(shí)由HTT
5、P服務(wù)器送到瀏覽器端�,以后瀏覽器每次連接都把這個(gè)Cookie的一個(gè)拷貝返回給Web服務(wù)器�����,服務(wù)器用這個(gè)Cookie來(lái)記憶用戶(hù)和維護(hù)一個(gè)跨多個(gè)頁(yè)面的過(guò)程影像���。Cookie不能用來(lái)竊取關(guān)于用戶(hù)或用戶(hù)計(jì)算機(jī)系統(tǒng)的信息,它們只能在某種程度上存儲(chǔ)用戶(hù)的信息���,如計(jì)算機(jī)名字�、IP地址���、瀏覽器名稱(chēng)和訪(fǎng)問(wèn)的網(wǎng)頁(yè)的URL等�����。所以��,Cookie是相對(duì)安全的��。(三)對(duì)通信信道的安全威脅Internet是連接Web客戶(hù)機(jī)和服務(wù)器通信的信道���,是不安全的。像Sniffer這樣的嗅探程序,可對(duì)信道進(jìn)行偵聽(tīng)�,竊取機(jī)密信息,存在著對(duì)保密性的安全威脅�����。未經(jīng)授權(quán)的用戶(hù)可以改變信道中的信息流傳輸內(nèi)容�����,造成
6����、對(duì)信息完整性的安全威脅��。此外�����,還有像利用拒絕服務(wù)攻擊�����,向網(wǎng)站服務(wù)器發(fā)送大量請(qǐng)求造成主機(jī)無(wú)法及時(shí)響應(yīng)而癱瘓����,或者發(fā)送大量的IP數(shù)據(jù)包來(lái)阻塞通信信道�����,使網(wǎng)絡(luò)的速度便緩慢�����。三���、Web的安全防護(hù)技術(shù)(一)Web客戶(hù)端的安全防護(hù)Web客戶(hù)端的防護(hù)措施,重點(diǎn)對(duì)Web程序組件的安全進(jìn)行防護(hù)��,嚴(yán)格限制從網(wǎng)絡(luò)上任意下載程序并在本地執(zhí)行�����?���?梢栽跒g覽器進(jìn)行設(shè)置,如MicrosoftInternetExplorer的Internet選項(xiàng)的高級(jí)窗口中將Java相關(guān)選項(xiàng)關(guān)閉����。在安全窗口中選擇自定義級(jí)別,將ActiveX組件的相關(guān)選項(xiàng)選為禁用。在隱私窗口中根據(jù)需要選擇Cookie的級(jí)別��,也可以
7�、根據(jù)需要將c:windowscookie下的所有Cookie相關(guān)文件刪除。(二)通信信道的安全防護(hù)通信信道的防護(hù)措施�,可在安全性要求較高的環(huán)境中,利用HTTPS協(xié)議替代HTTP協(xié)議���。利用安全套接層協(xié)議SSL保證安全傳輸文件����,SSL通過(guò)在客戶(hù)端瀏覽器軟件和Web服務(wù)器之間建立一條安全通信信道�,實(shí)現(xiàn)信息在Internet中傳送的保密性和完整性��。但SSL會(huì)造成Web服務(wù)器性能上的一些下降�����。(三)Web服務(wù)器端的安全防護(hù)限制在Web服務(wù)器中賬戶(hù)數(shù)量����,對(duì)在Web服務(wù)器上建立的賬戶(hù),在口令長(zhǎng)度及定期更改方面作出要求���,防止被盜用���。Web服務(wù)器本身會(huì)存在一些安全上的漏洞���,需要
8、及時(shí)進(jìn)行版
