网络安全12-Web安全与电子邮件安全祥解.pptVIP

网络安全 Web安全与电子邮件安全 Web安全 WWW服务 万维网（World Wide Web，WWW），简称Web 基于客户机/服务器方式的信息发现技术和超文本技术的综合 Web服务器通过HTML超文本标记语言把信息组织成为图文并茂的超文本 Web浏览器则为用户提供基于HTTP超文本传输协议的用户界面 用户使用Web浏览器通过Internet访问远端Web服务器上的HTML超文本 HTTP协议及其安全性 超文本传输协议（Hypertext Transfer Protocol，HTTP） Web应用的核心技术协议，属于TCP/IP协议栈中的应用层 定义了Web浏览器向Web服务器发送Web页面请求的格式，以及Web页面在Internet上的传输方式 HTTP的安全问题 HTTP协议未提供安全性机制 HTTP协议允许远程用户对远程服务器的通信请求，这会危及Web服务器和客户的安全 HTTP的另一个安全漏洞就是服务器日志 与Web相关的安全性问题 Web服务器安全 Web客户系统的安全性 扩展Web的技术存在的安全隐患 CGI Script Asp …… S-HTTP 安全超文本传输协议(Secure Hyper Text Transfer Protocol, S-HTTP) 一种面向安全信息通信的协议，可以和 HTTP 结合起来使用，能与 HTTP 信息模型共存并与 HTTP 应用程序相整合 为 HTTP 客户机和服务器提供了多种安全机制 不需要客户端公用密钥认证（或公用密钥），但支持对称密钥的操作模式 提供了完整且灵活的加密算法、模态及相关参数。选项谈判用来决定客户机和服务器在事务模式、加密算法及证书选择方面取得一致意见 安全套接层SSL 安全套接层（Secure Sockets Layer, SSL) 目的在于提高应用层协议（如HTTP，Telnet，NNTP，FTP等）的安全性，增强通信应用程序之间的保密性和可靠性 功能包括：数据加密、服务器验证、信息完整性以及可选的客户TCP/IP连接验证 SSL不同于S-HTTP之处在于后者是HTTP的超集，只限于Web Web安全性 - 1 CGI 通用网关接口(CGI)提供了用户与服务器的交互能力 用户请求通过Web/CGI转交给后台服务进程 实现方式多样：C++、perl、VB...... 安全漏洞表现为以下几方面： 泄露主机系统信息，帮助黑客入侵 当服务器处理远程用户输入的某些信息时，易被远程用户攻击 不规范的第三方CGI程序，或恶意客户向Web服务器发布的CGI程序，将对Web服务器造成物理或逻辑上的损坏，甚至将Web服务器上的整个硬盘信息复制到因特网的某一台主机上 Plug in 基于浏览器API的、专为浏览器设计的DLL，用来帮助浏览器处理特殊类型数据 运行在客户端，为服务器分担了大量的数据处理工作，减轻了网络的负担 在一个安全性要求较高的系统上安装Plug-in，必须确信Plug-in的开发者和提供Plug-in的服务器都是可信的 Web安全性 - 2 Javascript 一种HTML语言扩展，增强了HTML语言的动态交互能力，并且可以把部分处理移到客户机，减轻服务器的负载 一种较安全的语言 不允许访问本地硬盘 不能将数据存入服务器上 不允许对网络文档进行修改和删除 只能通过浏览器实现信息浏览或动态交互 不能用来制造病毒和木马 Web安全性 - 3 Java Applet 嵌在网页中，而又有自己独立的运行窗口的小程序，是预先编译好的 客户可以从网络上下载Applet程序到本地客户机运行，从而极大地减少了服务器的运算量 安全漏洞 可以欺骗用户，将本地硬盘或连入网络的磁盘上的文件传送到因特网上的任意主机 能获得用户本地硬盘和任何网络盘上的目录列表。 能监视用户在某段时间内访问过的所有网页 能够在未经用户允许的情况下触发浏览器发送E-mail 针对恶意 Applet 的安全措施 Java 1. 0：Applet 被限定运行在浏览器规定的一个称为“沙盒”环境区域中，这个环境区域对本机的资源只能作有限的控制 Java 1. 1：引入了“签名Applet”，就是一个Applet应用先被打包成JAR文件，然后使用开发者的私钥对它签名。签名Applet被下载到本地机后享有和普通Java 应用程序一样的权限 Web安全性 - 4 Cookie 一种能够让Web服务器把少量数据储存到客户端的硬盘或内存，或是从客户端的硬盘读取数据的一种技术 当浏览网站时，由Web服务器置于客户端硬盘上的一个非常小的文本文件，可以记录客户信息，当客户下次登陆时网站可以读取以便进行个性化服务 安全漏洞 cookie容易被伪造 cookie是明文发送和接受 存在个人信息泄漏的威胁 Web安全