《第8章Web的安全性.ppt》由会员分享,可在线阅读,更多相关《第8章Web的安全性.ppt(24页珍藏版)》请在三一文库上搜索。
1、,CH8 Web的安全性,2,本章内容,8.2 Web服务器的安全性,8.3 脚本语言的安全性、SQL注入,8.4 旁注WEB综合检测程序,8.5 WEB浏览器的安全,8.1 Web安全性概述,3,网站被黑案例,恶意攻击者针对Paypal发起了攻击,他们将Paypal用户重新引导到另一个恶意网站并警告用户,他们的账户已经失窃。用户们被引导到另一个钓鱼式网站上,然后输入自己的Paypal登录信息、社会保险号和信用卡资料。 俄罗斯黑客在2006年1月份利用SQL注入攻击攻破了美国罗得岛政府网站,窃取了大量信用卡资料。 澳大利亚的一个税务网站在2000年被一位用户攻破。那位用户只是在网站地址中更改了
2、税务ID账号就获得了1.7万家企业的详细资料。黑客以电子邮件的方式通知了那1.7万家企业,告知它们的数据已经被破解了。,4,思考,一服务器上运行着三种服务。一个是传统等WEB服务;二是FTP服务;三是OA(办公自动化)服务,因为该服务是WEB模式的,互联网上也可以直接访问OA服务器,所以也部署在这台服务器上。 由于这台服务器的配置还是比较高的,所以,运行这三个服务来说,没有多少的困难,性能不会有所影响。 现在的问题是,如何来保障它们的安全,FTP服务器、OA服务器与Web服务器之间安全上不会相互影响呢?,5,影响Web安全性的因素主要有以下几个方面。 (1) 由于Web服务器存在的安全漏洞和复
3、杂性,使得依赖这些服务器的系统经常面临一些无法预测的风险。 (2) Web程序员由于工作的失误或程序设计上的漏洞,也可能造成Web系统的安全缺陷。 (3) 用户通过浏览器和Web站点交互时,由于浏览器本身的安全漏洞,使得非法用户可以通过浏览器攻击Web站点。,8.1 Web安全性概述,6,8.1.1 Internet安全隐患,Internet是一个开放的、无控制机构的网络 TCP/IP通信协议存在不安全因素 网络操作系统中存在的安全脆弱性问题 电子邮件存在着被拆看、误投和伪造的可能性 病毒的传播,7,8.1.2 Web安全问题,未经授权的存取 窃取系统信息 破坏系统 非法使用 病毒破坏,8,相
4、对于传统的C/S应用模式,增加了Web服务器作为软件开发和应用平台的优点有: (1) 统一的客户界面 (2) 平台独立性 (3) 高可靠性、高可扩展性 (4) 并行性和分布性 (5) 易用性和通用性,8.2 Web服务器的安全性,8.2.1 Web服务器3层模式,9,8.2.2 Web服务器存在的漏洞,物理路径泄露 目录遍历 例:http:/ 缓冲区溢出 拒绝服务 条件竞争,10,8.2.3 Web服务器的安全设置,1.构造一个安全系统 (1) 使用NTFS文件系统 (2) 关闭默认共享 (3) 修改共享权限 (4) 为系统管理员账号更名 (5) 禁用TCP/IP 上的NetBIOS (6)
5、TCP/IP上对进站连接进行控制 (7) 修改注册表,减小拒绝服务攻击的风险,11,2.保证IIS自身的安全性 (1)IIS安全安装 不要将IIS安装在系统分区上。 修改IIS的安装默认路径。 打上Windows和IIS的最新补丁。 (2)用户控制的安全性 1)匿名用户 安装IIS后将会生成IUSR_Computername匿名用户,其匿名访问给Web服务器带来了很大的安全隐患,必须对它的访问权限进行限制,取消Web的匿名服务。(Demo),12,2) 一般用户 对于一般用户,可以通过使用大小写字母和数字相结合的口令,提高密码的安全性,限制失败的登录尝试以及修改账号的生存期等对其进行管理,提高
6、用户的安全性。,13,(3)IIS的安全配置 删除不必要的虚拟目录 删除危险的IIS组件 为IIS中的文件分类设置权限 删除不必要的应用程序映射 保护日志安全,14,CGI(Common Gateway Interface)即公共网关接口。 CGI规范允许Web服务器执行外部程序,并将它们的输出发送给Web浏览器。 CGI程序可能以下面两种方式产生安全漏洞。 (1)CGI程序可能有意或无意地泄露主机的一些信息。 (2)CGI程序在处理远程用户输入时,例如,一个表单的内容或者一个可搜索的索引命令,容易受到远程用户的攻击,用户可以骗取在系统上执行命令的权限。,8.3 脚本语言的安全性、SQL注入,
7、8.3.1 CGI程序的安全性,15,处理步骤:,通过Internet把用户请求送到服务器。 服务器接收用户请求并交给CGI程序处理。 CGI程序把处理结果传送给服务器。 服务器把结果送回到用户。,16,8.3.2 SQL注入,网站程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL注入(SQL Injection)。,17,现在不少网站被黑并不是因为自身的Web程序存在漏洞,而是黑客通过入侵了与其在同一个虚拟主机的网站,而后黑掉这些网站的,这种攻击手法叫做旁注法。 在
8、架设好服务器之后,可以使用“旁注WEB综合检测程序”检测WEB应用程序方面的漏洞。,8.4 旁注WEB综合检测程序,18,8.5 Web浏览器的安全性,8.5.1浏览器本身的漏洞,IE的自动登录 不使用“保存密码”选项 IE的颜色足迹软件应用 IE的自动完成 IE的安全区域设置,19,8.5.2 ActiveX的安全漏洞,1. ActiveX的安全性漏洞,由于ActiveX控制不含有任何类似的严格安全性检查或资源权限检查,使得用户在使用IE浏览器浏览一些带有恶意的ActiveX控件时,这些控件可以在用户毫不知情的情况下执行Windows系统中的任何程序,将用户计算机上的机密信息发送给Inter
9、net上的某台服务器,向局域网中传播病毒,甚至修改用户IE的安全设置等,这些都会给用户带来很大的安全风险。,20, Scr.Reset(); Scr.Path=“C:WindowsStartMenuProgramstest.hta“; Scr.Doc=“ Wash.Run(startdeltreec:test.txtY); alert(IMPORTANT:Windows is removing unused temporary files。); “; Setwrite(); ,21,2、IE浏览器中ActiveX的设置 工具-Internet选项-安全-自定义级别-安全设置-,22,可以通过下面3种方法删除或重新设置Cookie的使用。 (1)在Windows下拒绝Cookie的使用,可以删除Cookie文件夹中文件的内容,或者把文件的属性设置成只读或隐含。 (2)在IE中设置Cookie。 (3)通过修改注册表来禁止Cookies。 HKLMSOFTWAREMicrosoftWindowsCurrentVersionInternetSettingsCacheSpecialPathsCookies,8.5.3 Cookie的安全性设置,23,谢谢!,24,
链接地址:https://www.31doc.com/p-2911443.html