Web系统安全探析.ppt

第五章 Web系统安全;第1节 Web技术简介;1.1 HTTP协议;1.2 HTML语言与其他Web编程语言;1.2 HTML语言与其他Web编程语言;1.3 Web服务器;1.4 Web浏览器;1.5 公共网关接口介绍;1.5 公共网关接口介绍;1.5 公共网关接口介绍;1.5 公共网关接口介绍;第2节 Web的安全需求;1. Web带来的利益;2. Web带来的忧虑;网络不安全!;Web为什么会如此的不安全？;2.2 Web安全风险与体系结构;1． Web的安全体系结构;2． 主机系统的安全;3.网络系统的安全;4. Web应用的安全;2.3 Web服务器的安全需求;（1） 维护公布信息的真实完整 是Web服务器最基本的要求。 Web服务器在一定程度上是站点拥有者的代言人 （2） 维持Web服务的安全可用 要确保用户能够获得Web服务，防止系统本身可能出现的问题以及他人的恶意的破坏； 要确保所提供的服务是可信的，尤其是金融或者电子商务的站点。 （3） 保护Web访问者的隐私 用户IP地址，电子邮件地址，所用计算机名称，单位名称，计算机简单说明，所访问页面内容，访问时间，传输数据量，甚至个人的信用卡号码等信息。 （4） 保证Web服务器不被入侵者作为“跳板”使用 是Web服务器最基本的要求。 Web服务器不能被作为“跳板”来进一步侵入内部网络； 保证Web服务器不被用作“跳板”来进一步危害其他网络。;2.4 Web浏览器的安全需求;用户Web安全需求;2.5 Web传输的安全需求;第3节 Web服务器安全策略;3.1 定制安全政策;3.2 认真组织Web服务器;1． 认真选择Web服务器设备和相关软件;2． 仔细配置Web服务器;（1） 将Web服务器与内部网络分隔开来;（2） 维护安全的Web站点的拷贝;（3） 合理配置主机系统;（4） 合理配置Web服务器软件;3． 谨慎组织Web服务器的相关内容;4． 安全管理Web服务器;常用的Web服务器响应代码有：;（3） 进行必要的数据备份。;（4） 定期对Web服务器进行安全检查。;（5） 辅助工具;3.3 跟踪最新安全指南;3.4 意外事件的处理;第4节 Web浏览器安全;4.1 浏览器自动引发的应用;1. PostScript文件。;2. 配置/bin/csh作为查看器;3.Javal Applet的安全性;4.JavaScript 的安全性;5. ActiveX的安全性;6.安全对策;在IE6.0中设置各类脚本的安全性;4.2 Web中内嵌的恶意代码;4.3 浏览器本身的漏洞;4.3 浏览器本身的漏洞(续);Microsoft Internet Explorer 的安全漏洞;4.4 浏览器泄漏的敏感信息;4.5 web 欺骗;1. 欺骗攻击;2. Web欺骗攻击的原理;3. 对策;在Microsoft IE 中查联接站点的证书;第五节　IIS与ASP的安全;5.1　ASP泄露源代码;5.2 ASP编程时容易疏忽的安全问题;5.3　IIS5“Translate:f”的源代码暴露的问题;5.4　Unicode输入验证攻击;攻击实例：;黑网页实例：;上机操作内容;黑网页 C:idahack Host HostPort HostType ShellPort C:nc Host ShellPort 进入网页所在目录 C:echo 内容 网页文件名;配置各种安全等级,配置Cookie、Jave、ActiveX等技术相关安全选项。 拒绝Cookie方法： （1）浏览器设置 （2）改注册表。删除下列项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Cache\Special Paths\Cookies （3）工具软件：如：Internet Junkbrster;应用NTFS文件系统 修改WWW目录权限（everyone） IP地址控制 更改端口号 更名管理员帐号 废止TCP/IP上的NetBIOS 取消IP转发（路由选择） 启用SSL安全机制。