k第十一周w与web服务安全(第7章).pptVIP

华南理工大学计算机学院本科课程－－电子商务安全与保密 大纲第7章 www与Web服务安全 WWW系统的安全问题 包含服务器和浏览器两个方面 安全性威胁可能包括： 存放于WEB服务器文件系统上的私人或保密的文件被非法用户窃取 由远程用户发送给服务器的私人或保密信息被窃取 有关服务器主机的详细信息被泄漏，使攻击者有机会分析系统漏洞，并入侵系统 服务器存在允许外来者在服务器主机上执行命令的漏洞，使其有机会改动或破坏系统 主要原因：服务器软件和客户端浏览器的漏洞 服务器软件：Web服务器、数据库服务器、OS等 WWW安全性 协议本身的安全性支持 身份认证：Basic Authentication, Digest Access Authentication 保密性：TLS(Transport Layer Security) 实现上的安全性 服务器端安全性 Web pages的访问控制机制 可用性：防止拒绝服务 抵御各种网络攻击 客户端安全性 个人信息的保护 防止执行恶意代码 Web Proxy Server Man-In-The-Middle Web认证 Basic Authentication [RFC 2617] 口令直接明文传输 隐患：sniffer、中间代理、假冒的服务器 Digest Access Authentication [RFC 2617] Challenge-R