Web的安全性.pptVIP

第七章 Web的安全性 深职院 计算机网络技术专业 主要内容 Web的安全性概述 Web服务器的安全(IIS) 脚本语言的安全性 CGI 程序的安全性 VBScript 语言的安全性 JavaScript语言的安全性 Web浏览器的安全(IE) 　Web站点安全概述 Web站点的五种主要安全问题 1）未经授权的存取动作。 2）窃取系统的信息。 3）破坏系统。 4）非法使用。 5）病毒破坏。 影响Web站点安全的因素 （1）网络系统的安全漏洞 （2）操作系统类安全漏洞 （3）应用系统的安全漏洞（IIS） （4）脚本的安全漏洞 （5）其他安全漏洞 操作系统的选择 什么样的平台对Web服务器来说更安全？ 1 Windows +IIS 2 Unix+Apache 3 solaris 4 Linux +Apache（Tomcat） 每一个不同的平台都有其不同的安全含意，但是不能彼此比较安全性。尽管你应该注意每个操作系统的安全性，但是这不应该成为你选择平台的主要标准。 选择一个安全的Web服务器 在增强服务器的安全性时，应该有三个目的：????A.配置你的程序使它只能提供你指定的服务。????B.不到必要的时候不暴露任何信息。????C.如果系统遭到入侵，最大限度地减少损坏 IIS 的安全 1.安装时应注意的安全问题 2.用户控制的安全性 3.登录认证的安全性 4.访问权限控制 5.IP地址的控制 6.端口安全性的实现 7.IP转发的安全性 8.SSL安全机制（SSL安全演示实验） IIS5.0超长URL拒绝服务漏洞 请求不存在的扩展名为idq或ida 文件 什么CGI --Common Gateway Interface 一种基于浏览器的输入、在Web服务器上运行的程序方法。CGI脚本使你的浏览器与用户能交互，为了在数据库中寻找一个名词，提供你写入的评论，或者从一个表单中选择几个条目并且能得到一个明确的回答。如果你曾经遇到过在web上填表或进行搜索, 你就是用的CGI脚本。 网络服务器开放的构造允许任意的CGI脚本可在对远程服务请求有应答服务器上执行。安装在你的网站上任何CGI脚本都含有漏洞，每一个这样的漏洞都是一个潜在的安全漏洞。 CGI语言，如Perl，Php，C，VC++等都可以称为CGI语言 CGI安全 一是Web服务器的安全。 1.Web服务器软件编制中的BUG。 2.服务器配置错误。 这可能导致CGI源代码泄露。 一是CGI语言的安全。 ASP安全 1、ASP源代码的泄漏 2、密码验证时的漏洞 3、数据类型判断上的漏洞 4、来自filesystemobject的威胁 5、ASP.NET编程时的漏洞 Web浏览器的安全---- 浏览器本身的漏洞 缓冲区溢出漏洞 递归Frames漏洞 快捷方式漏洞 重定向漏洞 ActiveX的安全性 　 ActiveX的安全漏洞 IE浏览器中ActiveX设置 Cookie的安全性 Cookie的设置 说明 针对不同的平台要使用不同的注入工具。 在完成网站的建设时，可以使用有关的注入工具来探测该网站是否存在的安全性的漏洞。 注意：不可以使用这些网站注入工具在互联网上对其他网站进行探测注入，否则会承担相应的法律责任！ 脚本注入工具 下面主要介绍PHP注入，ACCESS注入，SQL注入，综合注入工具等。 参见《网络攻防工具》 师鸣若，袁磊等编著，电子工业出版社 2009年 PHP注入工具 1、CASIV4.0 主要的功能有：扫描注入点，暴表列，暴字段，暴后台，暴代码，MYSQL连接，HTTP头信息，字符转换，导出SHELL等。 举例： 举例 1、输入一个网址：/show.php?id=26，单击“scannum”按钮，等一段时间后就可以看到扫描结果，“OK！得到URL……..”，表明此网址存在一个注入漏洞，在“浏览器”下面，显示的是扫描得到的注入点URL的网页内容。单击HTTP头信息，能看到这个服务器是ASP的还是PHP的，等等。 2、单击“暴列表”按钮，可能会暴出一些表名。 3、单击“暴字段”按钮，表名设为上面所看到的一个表名，可以看到表字段username和password，在下面的“浏览器”显示该网页的内容，可以看到暴出来的用户名和密码（密码可能不是明文形式）。 4、单击“暴后台”按钮，即可暴出用户名和密码，输入就可以以管理员身份登录后台，可以修改主页、数据库等。 ACCESS注入工具 针对AC