Web的安全威胁与防护.docVIP

Web的安全威胁与防护 摘 要 文章对Web的安全威胁进行分析，提出了Web安全防护措施，并基于Windows平台简述了一个Web安全防护策略的具体应用。关键词 Web；网络安全；安全威胁；安全防护1 引言随着Internet的普及，人们对其依赖也越来越强，但是由于Internet的开放性，及在设计时对于信息的保密和系统的安全考虑不完备，造成现在网络的攻击与破坏事件层出不穷，给人们的日常生活和经济活动造成了很大麻烦。WWW服务作为现今Internet上使用的最广泛的服务，Web站点被黑客入侵的事件屡有发生，Web安全问题已引起人们的极大重视。2 Web的安全威胁来自网络上的安全威胁与攻击多种多样，依照Web访问的结构，可将其分类为对Web服务器的安全威胁、对Web客户机的安全威胁和对通信信道的安全威胁三类。2.1对Web服务器的安全威胁对于Web服务器、服务器的操作系统、数据库服务器都有可能存在漏洞，恶意用户都有可能利用这些漏洞去获得重要信息。Web服务器上的漏洞可以从以下几方面考虑：2.1.1在Web服务器上的机密文件或重要数据（如存放用户名、口令的文件）放置在不安全区域，被入侵后很容易得到。2.1.2在Web数据库中，保存的有价值信息（如商业机密数据、用户信息等），如果数据库安全配置不当，很容易泄密。2.1.3Web服务器本身存在一些漏洞，能被黑客利用侵入到系统，破坏一些重要的数据，甚至造成系统瘫痪。2.1.4程序员的有意或无意在系统中遗漏Bugs给非法黑客创造条件。用CGI脚本编写的程序中的自身漏洞。2.2对Web客户机的安全威胁现在网页中的活动内容已被广泛应用，活动内容的不安全性是造成客户端的主要威胁。网页的活动内容是指在静态网页中嵌入的对用户透明的程序，它可以完成一些动作，显示动态图像、下载和播放音乐、视频等。当用户使用浏览器查看带有活动内容的网页时，这些应用程序会自动下载并在客户机上运行，如果这些程序被恶意使用，可以窃取、改变或删除客户机上的信息。主要用到Java Applet和ActiveX技术。2、基于XML技术 　　将用户自定义的三维数据集成到XML文档中，通过浏览器对其进行解析后实时展现给用户。通过三维建模工具和可视化软件实现；在三维对象和三维场景展示时，文件数据量小。需要安装插件；文件传输快，可被快速下载；呈现的图象质量较好；与其他多技术集成能力强；兼容性好，适合于三维对象和场景的展示。　直接将交互的虚拟场景嵌入到视频中去。通过实景照片和场景集成软件来实现；在场景模拟时，文件数据量较小。需要下载插件；用户可快速浏览文件；三维场景的质量高；兼容性好，可以实现360度全景虚拟环境。版本浏览器预装插件；文件传输慢，下载时间长；呈现的图像质量不高；与其他多技术集成能力及兼容性弱，适合于三维对象和场景的展示。Java Applet使用Java语言开发，随页面下载，Java使用沙盒(Sandbox)根据安全模式所定义的规则来限制Java Applet的活动，它不会访问系统中规定安全范围之外的程序代码。但事实上Java Applet存在安全漏洞，可能被利用进行破坏。ActiveX是微软的一个控件技术，它封装由网页设计者放在网页中来执行特定的任务的程序，可以由微软支持的多种语言开发但只能运行在Windows平台。ActiveX在安全性上不如Java Applet，一旦下载，能像其他程序一样执行，访问包括操作系统代码在内的所有系统资源，这是非常危险的。Cookie是Netscape公司开发的，用来改善HTTP的无状态性。无状态的表现使得制造像购物车这样要在一定时间内记住用户动作的东西很难。Cookie实际上是一段小消息，在浏览器第一次连接时由HTTP服务器送到浏览器端，以后浏览器每次连接都把这个Cookie的一个拷贝返回给Web服务器，服务器用这个Cookie来记忆用户和维护一个跨多个页面的过程影像。Cookie不能用来窃取关于用户或用户计算机系统的信息，它们只能在某种程度上存储用户的信息，如计算机名字、IP地址、浏览器名称和访问的网页的URL等。所以，Cookie是相对安全的。2.3对通信信道的安全威胁Internet是连接Web客户机和服务器通信的信道，是不安全的。像Sniffer这样的嗅探程序，可对信道进行侦听，窃取机密信息，存在着对保密性的安全威胁。未经授权的用户可以改变信道中的信息流传输内容，造成对信息完整性的安全威胁。此外，还有像利用拒绝服务攻击，向网站服务器发送大量请求造成主机无法及时响应而瘫痪，或者发送大量的IP数据包来阻塞通信信道，使网络的速度便缓慢。3 Web的安全防护技术3.1 Web客户端的安全防护Web客户端的