网络安全培训教程--WWW安全篇资料.pptVIP

WWW安全性 1 HTTP协议及WWW服务 2 WWW服务器的安全性 3 Web欺骗 4 WWW客户安全性 5 增强WWW的安全性 本章学习目标 本章本章主要介绍了WWW的有关安全问题。通过本章学习，读者应该掌握以下内容： Web与HTTP协议，HTTP数据包的过滤特性和代理特性，Web的访问控制，HTTP的安全问题，S-HTTP和SSL的简介，缓存的安全性； WWW服务器的安全漏洞；NCSA、Apache、Netscape的安全问题； CGI程序的安全性问题； Plug-in的安全性问题； Java与JavaScript的安全性问题； Cookies的安全性； ActiveX的安全性； Web攻击的行为特点；与Web安全相关的决策； WWW客户安全性； 如何增强WWW的安全性； 1 HTTP协议及WWW服务 1.1 HTTP协议及其安全性 1.2 Web的访问控制 1.3 安全超文本传输协议S-HTTP 1.5 安全套接层SSL 1.6 缓存的安全性 1.1 HTTP协议及其安全性 HTTP协议（Hypertext Transfer Protocol，超文本传输协议）是分布式的Web应用的核心技术协议，在TCP/IP协议栈中属于应用层。它定义了Web浏览器向Web服务器发送Web页面请求的格式，以及Web页面在Internet上的传输方式。 HTTP协议允许远程用户对远程服务器的通信请求， 这会危及Web服务器和客户的安全 HTTP的另一个安全漏洞就是服务器日志。 1.2 Web的访问控制 IP地址并不能得到解析，因为客户机本地名字服务器配置可能不正确，这个时候HTTP服务器就伪造一个域名继续工作。 一旦Web服务器获得IP地址及相应客户的域名，便开始进行验证，来决定客户是否有权访问请求的文档。这其中隐含着安全漏洞。 可用一些方法来增强服务器的安全性 1.3 安全超文本传输协议S-HTTP S-HTTP（Secure Hyper Text Transfer Protocol）是保护Internet上所传输的敏感信息的安全协议。随着Internet和Web对身份验证的需求的日益增长，用户在彼此收发加密文件之前需要身份验证。S-HTTP协议也考虑了这种需要。 S-HTTP的目标是保证蓬勃发展的商业交易的传输安全，因而推动了电子商务的发展。S-HTTP使Web客户和服务器均处于安全保护之下，其信息交换也是安全的。 1.4 安全套接层SSL SSL（Secure Sockets Layer）是Netscape公司设计和开发的，其目的在于提高应用层协议（如HTTP，Telnet，NNTP，FTP等）的安全性。SSL协议的功能包括：数据加密、服务器验证、信息完整性以及可选的客户TCP/IP连接验证。SSL的主要目的是增强通信应用程序之间的保密性和可靠性。 SSL是两层协议，它依赖了一些可靠的传输协议 SSL不同于S-HTTP之处在于后者是HTTP的超集，只限于Web SSL 可以使用各种类型的加密算法和密钥验证机制 安全方案不仅仅只有SSL和S-HTIP 1.5 缓存的安全性 缓存通过在本地磁盘中存储高频请求文件，从而大大提高Web服务的性能。不过，如果远程服务器上的文件更新了，用户从缓存中检索到的文件就有可能过时。而且，由于这些文件可由远程用户取得，因而可能暴露一些公众或外部用户不能读取的信息。 HTTP服务器通过将远程服务器上文件的日期与本地缓存的文件日期进行比较可以解决这个问题。 2 WWW服务器的安全性 2.1 WWW服务器的安全漏洞 2.2通用网关接口(CGI)的安全性 2.3 Plug-in的安全性 2.4 Java与JavaScript的安全性 2.5 Cookies的安全性 2.6 ActiveX的安全性 2.1 WWW服务器的安全漏洞 1．NCSA服务器的安全漏洞 2．Apache WWW服务器的安全问题 3．Netscape的WWW服务器的安全问题 2.2通用网关接口(CGI)的安全性 2.3 Plug-in的安全性 把任何一个命令行shell、解释器、宏处理器或脚本语言处理器作为一种文档类型的阅读器，都会受到Web上的攻击。 不要为任何可能包含可执行语句的文件声明任何外部阅读器。Java和安全Tcl这些脚本语言会检测到这个安全问题：它们可以防止那些危险的功能。 2.4 Java与JavaScript的安全性 尽管名字上很相似，但Java与JavaScript之间毫无瓜葛。Java是Sun公司设计的一种语言。用Java编写的代码编译成一种紧凑的格式并存在连接的服务器端。Ja