第9章 WWW安全性.ppt

第9章 WWW安全性 章学习目标 l???????? Web服务的安全威胁； l???????? WWW服务器的安全漏洞； l???????? 如何对Web服务器进行安全配置； l???????? WWW客户安全性； l???????? 如何增强WWW的安全性； l???????? SSL协议及使用 9.1 WWW服务 9.1.1 WWW服务 WWW基于客户机/服务器模式，其中客户机就是Web浏览器，服务器指的是Web服务器。Web浏览器将请求发送到Web服务器，服务器响应这种请求，将其所请求的页面或文档传送给Web浏览器。 9.1.2 Web服务面临的安全威胁 1．电子欺骗 “电子欺骗”是指以未经授权的方式模拟用户或进程。恶意用户还可能更改Cookie的内容，假装他是其他用户或Cookie来自其他服务器。一般说来，用户可以通过使用严格的身份验证来防止电子欺骗。 2．篡改 篡改是指在未经授权的情况下更改或删除资源。例如，恶意用户进入站点并更改文件，从而使Web页变得面目全非。进行篡改的间接方法是使用脚本。 防止篡改的主要方法是使用Windows安全性锁定文件、目录和其他Windows资源。应用程序还应该以尽可能少的特权运行。 3．否认 否认威胁是指隐藏攻击的证据。在Web应用程序中，这可以是模拟无辜用户的凭据。同样，用户可以使用严格的身份验证来防止否认。另外，使