网站的安全概论.pptVIP

第7章 网站的安全 ;7.1 口 令 安 全 7.2 Web站点的安全 7.3 DNS的安全 ;7.1 口 令 安 全;口 令 长 度;（2）利用漏洞 （3）字典法破解 一次字典攻击能否成功，很大因素上决定于字典文件。一个好的字典文件可以高效快速的得到系统的密码。攻击不同的公司、不通地域的计算机，可以根据公司管理员的姓氏以及家人的生日，可以作为字典文件的一部分，公司以及部门的简称一般也可以作为字典文件的一部分，这样可以大大的提高破解效率。 一个字典文件本身就是一个标准的文本文件，其中的每一行就代表一个可能的密码。目前有很多工具软件专门来创建字典文件。一个简单的字典文件如图7-1所示. ;字典文件 ;;2．口令破解过程 3．几个典型的口令破译程序 （1）用于Windows NT/2000的口令破译程序 下面的工具对基于Windows NT/2000的攻击都很有用。 ① L0phtcrack ② Solar Designer的John the Ripper （2）用于UNIX上的口令破译程序 ① Crack ② Crackerjack ③ Merlin;案例7-1得到管理员密码 ;案例7-1得到管理员密码;权限提升;案例5-2 普通用户建立管理员帐号;普通用户建立管理员帐号;暴力攻击;暴力破解操作系统密码 ;暴力破解邮箱密码 ;;7.1.2 安全口令的设置 1．保证足够的口令长度 2．保证口令的复杂性 ;下述几点是设定较安全的口令时必须遵循的原则： （1）口令中尽量包含字母、数字和标点符号，还可以用控制字符来增强口令的复杂性； （2）口令的长度应至少有8个字符； （3）口令的字符不要太常见； （4）口令不要用自己的电话号码；;（5）口令不要用自己或家里亲人的生日； （6）口令不要用身份证号码的一部分； （7）口令不要用单个英文单词； （8）口令不要用自己的名字+数字的形式； （9）口令不要用英文单词+数字的形式。;3．定期更改口令 （1）用户可以改变自己的口令 （2）网络管理员给用户指定口令 4．避免使用重复的口令 在生活中，人们为了记忆的方便可能会习惯于重复使用自己所熟悉或者好记忆的几个口令。为了避免这种情况，系统应该采取一定的措施拒绝重复口令的使用。 ;5．遵循以下用户规则 为了安全，对用户进行口令安全方面的教育是很重要的。用户在了解如何设置安全口令的同时，还应该遵守用户规则。为了保持用户口令的安全现有以下几点建议： （1）不要将口令写下来； （2）不要将口令存入计算机文件中； （3）不要选取显而易见的信息作为口令； （4）不要让别人知道自己的口令； （5）不要交替使用两个口令； （6）不要在不同系统上使用同一口令； （7）不要让人看见自己在输入口令。; 减少口令危险的最有效的方法是根本不用常规口令。替代的办法就是在系统中安装新的软件或硬件，使用一次性口令。不幸的是，他们或者要求安装一些特定的程序，或者需要购买一些硬件，因此现在使用得并不普遍。 ;7.2 Web站点的安全 ;7.2.1 构建Web站点的安全特性 1．制定Web站点的安全策略 （1）安全资源的定义和重要等级划分 （2）风险评估 （3）安全策略的基本原则和安全管理规定 （4）意外事件的处理措施;2．配置Web服务的安全特性 （1）用户与Web站点建立连接的过程 Web站点的以下几个漏洞: ① 一旦服务器伪造了域名，客户就可能永远得不到授权访问的信息。 ② 如果服务器被伪造了域名，服务器就可能向另一用户发送信息。 ③ 服务器可能将入侵者误认为合法用户，并允许入侵者访问。;加强服务器的安全，有以下一些措施。 ① 保证注册账户的时效性。 ② 可以将Web服务器当作无权的用户运行。 ③ 当在Windows NT系统上运行服务器，检查驱动器和共享的权限时，将系统设为只读状态。 ④ 强制用户登录时使用好的密码（也就是前面第一节所讲的那些安全密码）。 ⑤ 最好将敏感信息文件放在基本系统中，再设二级系统，所有的敏感数据都不向因特网开放。;⑥ 不要保留不用的服务。 ⑦ 最重要的是检查HTTP服务器使用的Applet脚本，尤其是那些与客户交互作用的CGI脚本。防止外部用户执行内部指令。 ⑧ 建议在Windows 2000服务器上运行Web服务器。 ⑨ 如有不用的shell或解释程序，则将它们删除。 ⑩ 定期检查系统和Web记录以发现可疑活动。 ?检查系统文件的权限是否设置正确。;（2）Apache服务器的安全特性 ① 以Nobody用户运行 ② Server Root目录的权限 ③ 阻止用户修改系统配置 ④ SSI（Server Side Includes）配置 禁用Apache Server中