資源描述:
《web的安全威脅與安全防護(hù)網(wǎng)絡(luò)畢業(yè)論文》由會(huì)員上傳分享��,免費(fèi)在線(xiàn)閱讀��,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)�����。
1、Web的安全威脅與安全防護(hù)網(wǎng)絡(luò)畢業(yè)論文Web的安全威脅與安全防護(hù)摘要文章對(duì)Web的安全威脅進(jìn)行分析����,提出了Web安全防護(hù)措施,并基于Windows平臺(tái)簡(jiǎn)述了一個(gè)Web安全防護(hù)策略的具體應(yīng)用��。關(guān)鍵詞Web;網(wǎng)絡(luò)安全��;安全威脅�����;安全防護(hù)1引言隨著Inter的普及,人們對(duì)其依賴(lài)也越來(lái)越強(qiáng),但是由于Inter的開(kāi)放性��,及在設(shè)計(jì)時(shí)對(duì)于信息的保密和系統(tǒng)的安全考慮不完備�����,造成現(xiàn)在網(wǎng)絡(luò)的攻擊與破壞事件層出不窮�,給人們的日常生活和經(jīng)濟(jì)活動(dòng)造成了很大麻煩。服務(wù)作為現(xiàn)今Inter上使用的最廣泛的服務(wù)�,Web站點(diǎn)被黑客入侵的事件屢有發(fā)生����,Web安全問(wèn)題已引起人們的極大重視����。2Web的安全威脅來(lái)自網(wǎng)絡(luò)上的安全
2���、威脅與攻擊多種多樣,依照Web訪問(wèn)的結(jié)構(gòu)��,可將其分類(lèi)為對(duì)Web服務(wù)器的安全威脅�����、對(duì)Web客戶(hù)機(jī)的安全威脅和對(duì)通信信道的安全威脅三類(lèi)�。2.1對(duì)Web服務(wù)器的安全威脅對(duì)于Web服務(wù)器�����、服務(wù)器的操作系統(tǒng)、數(shù)據(jù)庫(kù)服務(wù)器都有可能存在漏洞����,惡意用戶(hù)都有可能利用這些漏洞去獲得重要信息��。Web服務(wù)器上的漏洞可以從以下幾方面考慮:2.1.1在Web服務(wù)器上的機(jī)密文件或重要數(shù)據(jù)(如存放用戶(hù)名�����、口令的文件)放置在不安全區(qū)域����,被入侵后很容易得到��。2.1.2在Web數(shù)據(jù)庫(kù)中�,保存的有價(jià)值信息(如商業(yè)機(jī)密數(shù)據(jù)、用戶(hù)信息等)���,如果數(shù)據(jù)庫(kù)安全配置不當(dāng)��,很容易泄密����。2.1.3Web服務(wù)器本身存在一些漏洞,能被黑客利用
3�����、侵入到系統(tǒng),破壞一些重要的數(shù)據(jù)����,甚至造成系統(tǒng)癱瘓��。2.1.4程序員的有意或無(wú)意在系統(tǒng)中遺漏Bugs給非法黑客創(chuàng)造條件��。用CGI腳本編寫(xiě)的程序中的自身漏洞����。2.2對(duì)Web客戶(hù)機(jī)的安全威脅現(xiàn)在網(wǎng)頁(yè)中的活動(dòng)內(nèi)容已被廣泛應(yīng)用,活動(dòng)內(nèi)容的不安全性是造成客戶(hù)端的主要威脅����。網(wǎng)頁(yè)的活動(dòng)內(nèi)容是指在靜態(tài)網(wǎng)頁(yè)中嵌入的對(duì)用戶(hù)透明的程序��,它可以完成一些動(dòng)作���,顯示動(dòng)態(tài)圖像��、下載和播放音樂(lè)��、視頻等�。當(dāng)用戶(hù)使用瀏覽器查看帶有活動(dòng)內(nèi)容的網(wǎng)頁(yè)時(shí),這些應(yīng)用程序會(huì)自動(dòng)下載并在客戶(hù)機(jī)上運(yùn)行��,如果這些程序被惡意使用�,可以竊取��、改變或刪除客戶(hù)機(jī)上的信息�。主要用到JavaApplet和ActiveX技術(shù)。(作文網(wǎng)zw.NSEaC.
4�、編輯發(fā)布)JavaApplet使用Java語(yǔ)言開(kāi)發(fā)�,隨頁(yè)面下載�,Java使用沙盒(Sandbox)根據(jù)安全模式所定義的規(guī)則來(lái)限制JavaApplet的活動(dòng)����,它不會(huì)訪問(wèn)系統(tǒng)中規(guī)定安全范圍之外的程序代碼�����。但事實(shí)上JavaApplet存在安全漏洞��,可能被利用進(jìn)行破壞���。ActiveX是微軟的一個(gè)控件技術(shù),它封裝由網(wǎng)頁(yè)設(shè)計(jì)者放在網(wǎng)頁(yè)中來(lái)執(zhí)行特定的任務(wù)的程序��,可以由微軟支持的多種語(yǔ)言開(kāi)發(fā)但只能運(yùn)行在Windows平臺(tái)����。ActiveX在安全性上不如JavaApplet�,一旦下載,能像其他程序一樣執(zhí)行��,訪問(wèn)包括操作系統(tǒng)代碼在內(nèi)的所有系統(tǒng)資源�,這是非常危險(xiǎn)的。Cookie是Netscape公司開(kāi)發(fā)的�����,
5���、用來(lái)改善HTTP的無(wú)狀態(tài)性����。無(wú)狀態(tài)的表現(xiàn)使得制造像購(gòu)物車(chē)這樣要在一定時(shí)間內(nèi)記住用戶(hù)動(dòng)作的東西很難��。Cookie實(shí)際上是一段小消息��,在瀏覽器第一次連接時(shí)由HTTP服務(wù)器送到瀏覽器端�����,以后瀏覽器每次連接都把這個(gè)Cookie的一個(gè)拷貝返回給Web服務(wù)器���,服務(wù)器用這個(gè)Cookie來(lái)記憶用戶(hù)和維護(hù)一個(gè)跨多個(gè)頁(yè)面的過(guò)程影像�����。Cookie不能用來(lái)竊取關(guān)于用戶(hù)或用戶(hù)計(jì)算機(jī)系統(tǒng)的信息�,它們只能在某種程度上存儲(chǔ)用戶(hù)的信息����,如計(jì)算機(jī)名字�����、IP地址�、瀏覽器名稱(chēng)和訪問(wèn)的網(wǎng)頁(yè)的URL等。所以��,Cookie是相對(duì)安全的。2.3對(duì)通信信道的安全威脅Inter是連接Web客戶(hù)機(jī)和服務(wù)器通信的信道�,是不安全的���。像Sni
6�、ffer這樣的嗅探程序����,可對(duì)信道進(jìn)行偵聽(tīng)���,竊取機(jī)密信息��,存在著對(duì)保密性的安全威脅��。未經(jīng)授權(quán)的用戶(hù)可以改變信道中的信息流傳輸內(nèi)容��,造成對(duì)信息完整性的安全威脅�。此外�,還有像利用拒絕服務(wù)攻擊�����,向網(wǎng)站服務(wù)器發(fā)送大量請(qǐng)求造成主機(jī)無(wú)法及時(shí)響應(yīng)而癱瘓�,或者發(fā)送大量的IP數(shù)據(jù)包來(lái)阻塞通信信道�����,使網(wǎng)絡(luò)的速度便緩慢�。3icrosoftInterExplorer的Inter選項(xiàng)的高級(jí)窗口中將Java相關(guān)選項(xiàng)關(guān)閉��。在安全窗口中選擇自定義級(jí)別�,將ActiveX組件的相關(guān)選項(xiàng)選為禁用�。在隱私窗口中根據(jù)需要選擇Cookie的級(jí)別���,也可以根據(jù)需要將c:AIL����、數(shù)據(jù)庫(kù)等服務(wù)器與L存放目錄之外的CGI-BIN下等措施
7、�。下一頁(yè)
