2014年_11_Web信息安全解决方案.pptVIP

网 络 安 全 体 系 网 盾 高 级 阶 段 网络安全体系课程 第11讲 Web信息安全解决方案 本章目标 了解什么是信息安全 掌握防御SQL注射的方法 掌握保障Web数据库安全的方法 了解防御Web欺骗的方法 掌握防御上传漏洞的方法 了解防御跨站攻击的方法 一 信息安全的概念 什么是信息安全 信息安全涉及到信息的保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、可控性(Controllability)。综合起来说，就是要保障电子信息的有效性。 保密性就是对抗对手的被动攻击，保证信息不泄漏给未经授权的人。 完整性就是对抗对手主动攻击，防止信息被未经授权的篡改。 可用性就是保证信息及信息系统确实为授权使用者所用。 可控性就是对信息及信息系统实施安全监控。 信息安全所涉及到的范围 信息安全本身包括的范围很大，大到国家军事政治等机密安全，小范围的当然还包括如商业企业机密泄露，防范青少年对不良信息的浏览，个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名，信息认证，数据加密等），直至安全系统，其中任何一个安全漏洞便可以威胁全局安全。信息安全服务至少应该包括支持信息网络安全服务的基本理论，以及基于新一代信息网络体系结构的网络安全服务体系结构。 Web信息安全解决方案 防御SQL注射 保障Web数据库安全 防御Web欺骗 防御上传漏洞 防御跨站攻击 防御网马 二 防御SQL注射 站点程序代码对站点提交的数据严格过滤. 设置后台管理员强密码 补救措施: 利用’SQL通用防注系统’过滤非法字符. 利用Web防火墙过滤非法字符(第十七次课) DEMO: ASP防注入 PHP防注入 三 保障Web数据库安全 主要指防止站点数据库被下载,方法如下: 1，数据库名字 bbs.mdb 修改名字 #bbs.mdb 解决办法 %23bbs.mdb，即可下载. 2，修改数据库名字 %25bbs.mdb %25等同于 \, 在数据库被下载的时候自动就变成了下级目录. 3，e:\wwwroot\data\bbs.mdb e:\data 利用..\将数据库和网站隔离 在conn.asp文件中修改原路径（data\bbs.mdb）为 ..\data\bbs.mdb 就跳到上级目录了 4，第三方工具 通过isa防火墙发布web服务器，配置访问内容，进行下载文件格式mdb 四 防御Web欺骗 从站点代码入手,验证页最好结合cookies和session双重验证,否则无法从根本上避免cookies或session欺骗. 五 防御上传漏洞 修改上传页面源代码,过滤不安全后缀名,十六进制00,删除后台备份功能页面和添加上传类型页面.删除IIS中不需要的服务扩展. 将WScript.Shell组件、Shell.Application组件卸载，然后禁用Cmd.exe.防止Webshell执行命令. DEMO regsvr32/u C:\WINDOWS\System32\wshom.ocx del C:\WINDOWS\System32\wshom.ocx regsvr32/u C:\WINDOWS\system32\shell32.dll del C:\WINDOWS\System32\shell32.dll 五 防御上传漏洞 六 防御XSS攻击 修改与用户交互的所有提交页面源代码,过滤危险的HTML代码. DEMO 七 防御网马 策略分析: 客户端为什么会中网马,大致有以下三点: 1,IE或系统有漏洞被网马利用 2,IE安全级别设置为很低,启用了脚本和ActiveX控件 3,系统默认安装了一些不安全的控件 4,没有任何杀毒软件和防火墙 防范方法: 1,及时安装安全补丁(合格网管每天必做工作) 2,在IE浏览器的菜单栏上选择“工具→Internet选项”打开“Internet选项”对话框。在“安全”选项卡上，在Internet和本地Internet区域，分别把滑块移动到最高，或者点击“自定义级别”，在打开的对话框上禁用脚本，禁用ActiveX控件 注意:禁用脚本和ActiveX控件会使一些网页的功能和效果失去作用，所以是否禁用，你要根据自己对安全的需要来定 防御网马cont. 3,删除不安全控件 阻止脚本程序对本机的文件操作、目录操作、注册表操作、程序运行等进行控制，就可以起到阻止木马