Web应用安全概要.ppt

WEB的安全性问题 由于WEB浏览器通常都具有良好的图形用户界面，并且集成了对多种应用的支持；java等技术的引入使得WEB具有了更强的交互性来支持各种网络应用，基于HTTP协议的WEB技术来实现已成为一种普遍的趋势，因此目前绝大多数网络服务都倾向于采用WEB的方式来向用户提供服务。 WEB的安全性问题的原因。 HTTP协议的安全性是非常脆弱的； 服务实现上的复杂性系统的配置和管理趋于复杂化 ，导致许多的安全隐患 WEB最终用户常常是未经训练或不了解系统安全细节的用户。 对应的： 增强的安全协议 工具的升级、配置与编码的规范 基本的安全培训，严格的编码控制 WEB安全威胁 ——威胁的位置 (1)对WEB服务器的攻击； (2)对WEB浏览器的攻击； (3)对浏览器与服务器间通信流量的攻击。 WEB技术所面临的安全威胁 ——威胁的后果 (1)对信息完整性的攻击:试图修改用户数据;利用特洛伊木马攻击客户浏览器;修改传输中的报文通信量 (2)对信息保密性的攻击:网络窃听数据信息；网络窃取网络配置信息 (3)拒绝服务攻击:目标阻止受攻击者访问特定资源；目的是合法用户使用网络资源 (4)对身份认证攻击:假冒合法用户获取服务权限；假冒服务器欺骗用户 Web安全性威胁与对策 如何保证Web应用安全 首先需要保证服务器系统和客户工作站系统安全，因为系统安全是整个应用安全保障的基础。 在此基础上，Web应用的安全性实现主要依赖于应用协议的安全性和网络通信的安全性，安全通信协议是附加在TCP/IP协议栈中的一系列安全机制。一般来说已经包含在系统或编码框架里面。可以从以下三个方面来考虑： 1、保证WEB服务器的安全 2、保证WEB浏览器的安全 3、保证传输过程中的安全 Web服务器安全 1、Web服务器存在的漏洞1）Web服务器因各种原因而不能返回客户要访问的秘密文件、目录或重要数据。2）远程用户向服务器发送信息时，特别是像信用卡之类的重要信息时，中途遭不法分子非法拦截。3）入侵者可能突破Web服务器本身存在的一些漏洞，破坏其中的一些重要数据，甚至造成系统瘫痪。4）CGI（Common Gateway Interface，公共网关接口）安全方面存在的漏洞。 CGI可能的漏洞有：有意或无意地在主机系统中遗漏bug，给非法黑客创造条件；用CGI脚本编写的程序在涉及远程用户从浏览器中输入表单或进行检索（Search Index）时，会给Web主机系统造成危险。因此，从CGI角度考虑Web的安全性，主要是在编制程序时，应详细考虑到安全因素，尽量避免CGI程序中存在漏洞。 Web服务器安全 2、Web服务器安全策略1）定义安全资源、进行重要等级划分2）进行安全风险评估3）制定安全策略的基本原则4）建立安全培训制度 5）具有意外事件处理措施 3、认真组织WEB服务器 1）认真选择web服务器设备和相关软件2）仔细配置web服务器3）谨慎组织web服务器的相关内容4）安全管理web服务器 5）具有意外事件处理措施 Web浏览器安全 1、浏览器自动引发的应用 2、WEB页面或者下载文件中内嵌的恶意代码 3、浏览器本身的漏洞 4、浏览器泄露的敏感信息 5、web欺骗 测试原理（asp代码） 运行，效果如下：在文本框内输入查询信息，提交，能够到达queryResult.jsp显示结果。 运行query.jsp，输入正常数据，如“安全编程技术”： 提交，显示的结果是： 结果没有问题。但是该程序有漏洞。 比如，客户输入“IFONT SIZE=7Java/FONT/I”： 查询显示的结果为： 该问题是网站对输入的内容没有进行任何标记检查造成的。打开queryResult.jsp的客户端源代码，显示为： 更有甚者，我们可以输入某个网站上的一幅图片地址(此处引用google首页上的logo图片)： 显示结果为： 很显然，结果很不正常！ 以上只是说明了该表单提交没有对标记进行检查，还没有起到攻击的作用。为了进行攻击，我们将输入变成脚本： 提交，结果为： 说明脚本也可以执行，打开queryResult.jsp客户端源代码，为： 于是，程序可以让攻击者利用脚本进行一些隐秘信息的获取了！输入如下查询关键字： 提交，得到结果： 消息框中，将当前登录的sessionId显示出来了。很显然，该sessionId如果被攻击者知道，就可以访问服务器端的该用户session，获取一些信息。 实际的攻击是怎样进行的呢？如前所述，攻击者为了得到客户的