计算机网络安全CH08.pdfVIP

第8章 Web 服务的安全性 本章要点 Web 服务的概念、类型与应用 Web 服务的安全防范及对应的技术措施 Web 服务中受到的攻击、密码破解的方法 邮箱系统的管理与安全配置 8.1 Web 服务的安全概述 8.1.1 网络服务概念 随着因特网的发展，客户机/服务器结构逐渐向浏览器/服务器结构发展，Web 服务在 很短时间内成为因特网上的主要服务。Web 文本发布的特点是：简洁、生动、形象，所以 无论是单位还是个人，都更加倾向于使用Web 来发布信息。 Web 服务是基于超文本传输协议(即HTTP 协议) 的服务，HTTP 协议是一个面向连接的 协议，在TCP 的端口80 上进行信息的传输。大多数Web 服务器和浏览器都对HTTP 协议 进行了必要的扩展，一些新的技术接口CGI 通用网关程序、Java 小程序、ActiveX 控件、 虚拟现实等，也开始应用于Web 服务，使Web 文本看上去更生动、更形象，信息交互也 显得更加容易。 Web 服务在方便用户发布信息的同时，也给用户带来了不安全因素。尤其是在标准协 议基础之上扩展的某些服务，在向用户提供信息交互的同时，也使得Web 基础又增加了新 的不安全因素。 8.1.2 Web 服务的安全威胁 Web 服务所面临的安全威胁可归纳为两种：一种是机密信息所面临的安全威胁，另一 种是WWW 服务器和浏览器主机所面临的安全威胁。其中，前一种安全威胁是因特网上各 种服务所共有的，而后一种威胁则是由扩展Web 服务的某些软件所带来的。这两种安全隐 患不是截然分开，而是共同存在并相互作用的，尤其是后一种安全威胁的存在，使得信息 保密更加困难。 1. 机密信息的安全威胁 通过Web 服务传递信息时，对于机密信息需要防止搭线窃听，防止外部用户入侵主机。 如果无法保证信息仅为授权用户阅读，致使机密信息泄露，必将给被侵入方带来巨大损失。 第 8 章 Web 服务的安全性 ·221 · 2. 主机面临的威胁 1) CGI 程序带来的威胁 CGI(Common Gateway Interface)是通用网关接口。它在服务器端与Web 服务器相互配 合，响应远程用户的交互性请求。允许用户选择一种语言，如C/C++、VB 等进行编程，提 供服务器端和远程浏览器之间的信息交互能力。 CGI 程序是Web 安全漏洞的主要来源，其安全漏洞表现为以下几方面： (1) 泄露主机系统信息，帮助黑客入侵。 (2) 当服务器处理远程用户输入的某些信息(如表格)时，易被远程用户攻击。 (3) 不规范的第三方CGI 程序，或存有恶意的客户向Web 服务器发布的CGI 程序，将 对Web 服务器造成物理或逻辑上的损坏，甚至将Web 服务器上的整个硬盘信息复制到因 特网的某一台主机上。 2) Java 小程序所带来的威胁 Java 是由美国Sun MicroSystem 公司于1995 年推出的一种跨平台和具有交互能力的计 算机程序语言，具有简单，面向对象，分布式，健壮，安全，结构中立，可移植，高效， 多线程和动态等优点。其中Java 小程序为Web 服务提供了相当好的扩展能力，并为各种 通用的浏览器，如IE 、NetScape 2.0 所支持。Java 小程序由浏览器进行解释，并在客户端 执行，因而把安全风险直接从服务器端转移到了客户端。 尽管在实现Java 小程序时考虑了很多安全因素，但在发行后不长时间，仍在Java 中发 现了很多安全漏洞。 在NetScape 2.0 中的Java 的实现中存在一些特殊的安全漏洞，例如任意执行机器指令 的能力，Java 小程序的相互竞争力，与任意的主机建立连接的能力等。 此外，Java 小程序作为协议程序在IE 、NetScape 中的实现语言，还存在着下述安全 漏洞： (1) 可以欺骗用户，将本地硬盘或连入网络的磁盘上的文件传送到因特网上的任意 主机。 (2) 能获得用户本地硬盘和任何网络盘上的目录列表。 (3) 能监