第9章Web安全(论文资料).pptVIP

第9章 Web安全 9.1 Web技术简介 9.2 Web风险安全 9.3 Web浏览器安全 9.4 Web服务器的安全策略 9.1 Web技术简介9.1.1 Web基础知识9.1.2 Web服务器9.1.3 Web浏览器 9.1.1 Web基础知识 WWW由遍布因特网中的被称为WWW服务器的计算机组成。Web是一个容纳各种类型信息的集合，简称为页面。 下面我们来看一下WWW中常用的一些术语。 1．超文本标记语言（HTML） 2．超文本传输协议（HTTP） 3．统一资源定位器URL URL是在因特网上惟一确定资源位置的方法，其基本格式为： 协议：//主机域名/资源文件名 9.1.2 Web服务器 Internet上众多的Web服务器汇集了大量的信息，Web服务器的作用就是管理这些文档，处理用户发来的各种请求，将满足用户要求的信息返回给用户。 其实，本质上来说，Web 服务器是驻留在服务器上的一个程序，通过Web浏览器与用户交互操作，为用户提供相关信息。 9.1.3 Web 浏览器 Web浏览器是阅读Web上的信息的客户端的软件。如果用户在本地机器上安装了Web浏览器软件，就可以读取Web上的信息了。 Web浏览器在网络上与 Web 服务器打交道，从服务器上下载和获取文件。Web浏览器有多种，它们都可以浏览Web上的内容，不过所支持的协议标准以及功能特性各有异同。绝大部分的浏览器都运用了图形用户界面。目前常用的有：Microsoft Internet explorer、Netscape Navigator、Netscape Communicator、Opera、Mosaic、Lynx等等。 9.2 Web的安全风险 9.2.1 Web 的安全体系结构 9.2.2 Web 服务器的安全风险 9.2.3 Web浏览器的安全风险 9.2.1 Web 的安全体系结构 Web的安全体系结构非常复杂，具体来说，包括以下几个方面： 1．Web 浏览器软件的安全 2．Web服务器上Web服务器软件的安全 ３．主机系统的安全 ４．客户端的局域网 ５．服务器端的局域网 ６．Internet 所有以上因素必须考虑在内，才能说是较好地分析了Web系统的安全性。 9.2.2 Web 服务器的安全风险 Web服务器的安全风险，主要来自以下几个方面： （１）能否保证公布信息的真实完整 （２）Web服务能否安全可用 （３）能否很好地保证Ｗeb访问者的隐私 （４）Web服务器可能会被入侵者作为“跳板”使用 9.2.3 Web浏览器的安全风险 使用Web浏览器获取信息时，也是有安全风险的，主要有以下几个方面： 1）运行浏览器的系统可能会被病毒或者其他恶意程序侵害而遭受破坏。 2）个人信息可能会外泄。 3）不能确保所交互的站点的真实性，用户可能会受骗，受到损失。 9.3 Web 浏览器的安全 9.3.1 浏览器本身的漏洞 9.3.2 WEB页面中的恶意代码 9.3.3 Web欺骗 9.3.1 浏览器本身的漏洞 浏览器的功能越来越强大，但是由于程序结构的复杂，在堵住了旧的漏洞的同时，可能又出现了新的漏洞。浏览器的安全漏洞可能让攻击者获取磁盘信息，安全口令，甚至破坏磁盘文件系统等。 9.3.2 WEB页面中的恶意代码 由于某些动态页面以来源不可信的用户输入的数据为参数生成页面，所以Web页面中可能会不经意地包含一些恶意的脚本程序等。如果Web服务器不对此进行处理，那么很可能对Web服务器和浏览器用户两方面都带来安全威胁。即使采用SSL来保护传输，也不能阻止这些恶意代码的传输。 9.3.3 Web欺骗 由于Internet上Web网页容易拷贝的特点，使得Web欺骗变得简单。 1．欺骗攻击 所谓欺骗攻击就是指攻击者通过伪造一些容易引起错觉的文件、音像或者其他场景来诱导受骗者做出错误的与安全有关的决策。 2．Web欺骗攻击的原理 Web欺骗攻击成功的关键在于攻击者的伪服务器必须位于受骗用户到目标Web服务的必经的路径上。 3．对策 1）尽量避免非有不可的浏览器的JavaScript，ActiveX和Java选项。 2）充分利用浏览器的提示信息。 3）进入SSL安全联接时，仔细查看站点的证书是否与其所声称的一致，不要被相似的字符欺骗。 9.4 Web 服务器的安全策略 9.4.1 制定安全策略 9.4.2 Web服务器安全应用  1．定制安全政策 无论多么优秀的系统，必须有人的安全管理和合法地使用，否则，就没有安全可言。所以，要有安全政策，它包括以下几个方面： （