web安全专业学习.pptVIP

第七章 Web安全 WWW安全问题 SSL与TLS SET Web安全问题的提出 Web应用的简单性使其迅速普及 本质是基于TCP/IP的C/S应用，无安全性 服务器信息是双向的，可被主动攻击 复杂的软件系统存在隐患：浏览器一般只能理解基本的数据格式如 HTML、JPEG和GIF格式。对其它的数据格式，浏览器要通过外部程序来观察。 客户的多样性，缺乏安全意识 Web安全问题的提出 Web服务器记录的如下信息，会对用户构成威胁。 （1）IP地址。 （2）服务器/宿主名字。 （3）卸载时间。 （4）用户名(可通过用户授权来了解，或在Unix中通过标识协议获得)。 （5）URL要求。 （6）以用户在会话期间常用的形式及出现的可变数据。 （7）要求的状态。 （8）数据传输尺寸。 Web安全问题的提出 Web服务器可能的安全漏洞： （l）客户可能永远得不到要求的信息，因为服务器伪造了域名。客户可能无法获得授权访问的信息。 （2）服务器可能向另一用户发送信息，因为伪造了域名。 （3）误认闯入者是合法用户，服务器可能允许闯入者访问。 Web安全威胁 被动攻击：偷听浏览器和服务器之间的网络通信量，获得对站点受限信息的访问权 主动攻击：假扮另一用户．修改客户与服务器之间传输的信息，或修改站点的信息 Web安全威胁 Web通信安全的实现 网络层——IP安全