《网络安全和管理(第二版)》 第6章 www安全.pptVIP

网络安全与管理 第6章 www安全 本章学习目标 Web服务的安全威胁； WWW服务器的安全漏洞； 如何对Web服务器进行安全配置； WWW客户安全性； 如何增强WWW的安全性； SSL协议及使用 6.1 WWW安全概述 6.1.1 WWW服务 6.1.2 Web服务面临的安全威胁 6.1.1 WWW服务 WWW是World Wide Web的英文缩写，译为“万维网”，是Internet的一种最有活力的服务形式，也称为Web服务。 WWW提供的信息形象、丰富，支持多媒体信息服务，是组织机构、个人在网上发布信息的主要形式。 用户使用基于图形界面的浏览器访问WWW服务，易学易用，只要点击鼠标，就能进入引人入胜的网上世界，获取丰富多彩的信息。 6.1.1 WWW服务 WWW基于客户机/服务器模式，其中客户机就是Web浏览器，服务器指的是Web服务器。 6.1.2 Web服务面临的安全威胁 由于HTTP协议允许远程用户对服务器的通信请求，并且允许用户在远程执行命令，这会危及Web服务器和客户端的安全 ： 电子欺骗； 篡改； 否认； 信息泄露； 拒绝服务； 特权升级。 6.2 WWW的安全问题 6.2.1 WWW服务器的安全漏洞 6.2.2 通用网关接口（CGI）的安全性 6.2.3 ASP与Access的安全性 6.2.4 Java与JavaScript的安全性 6.2.5 Cookies的安全性 6.2.2 通用网关接口的安全性 HTML语言只适用于编写静态的WWW服务，而通用网关接口（CGI，Common Gateway Interface）提供了动态服务，可以在用户和Web服务器之间交互式通信。 CGI程序的编写应注意的问题 CGI脚本的激活方式 不要依赖于隐藏变量的值 CGI的权限问题 CGI Script的安全性 6.2.3 ASP与Access的安全性 ASP（Active Server Pages)作为一种典型的服务器端网页设计技术，被广泛地应用在网上银行、电子商务、搜索引擎等各种互联网应用中。 ASP＋Access解决方案的主要安全隐患来自： Access数据库的安全性； 其次在于ASP网页设计过程中的安全漏洞。 6.2.4 Java与JavaScript的安全性 Java是Sun公司设计的一种编程语言，Java程序有两种类型： 一种是应用程序Application，它可以单独运行，不必借助浏览器； 一种是小应用程序Applet，可以嵌入网页中，借助浏览器运行，实现HTML不具备的一些功能。 6.2.4 Java与JavaScript的安全性 JavaScript的安全性问题： JavaScript可以欺骗用户，将用户的本地硬盘上的文件上载到Internet上的任意主机； JavaScript能获得用户本地硬盘上的目录列表，这既代表了对隐私的侵犯又代表了安全风险； JavaScript能监视用户某段时间内访问的所有网页，捕捉URL并将它们传到Internet上某台主机中； JavaScript能够触发Netscape Navigator送出电子邮件信息而不需经过用户允许； 嵌入网页的JavaScript代码是公开的，缺乏安全保密功能。 6.2.4 Java与JavaScript的安全性 Java applet的安全性的问题 ： Java applet在浏览器端执行，而不是在服务器端执行，把安全风险直接从服务器移到了客户端； Java有几个内置的安全机制使它不会损坏远程客户的机器； 安全管理员通常不允许applet执行任意的系统命令、调用系统库、或打开系统设备驱动器，如磁盘驱动器； applet只允许同它被下载的服务器建立连接； 安全管理员允许Java applet读写网络和本地磁盘，但不能同时对两者操作，是为了防止applet偷看用户的私有文档并将其传回服务器。 6.2.5 Cookies的安全性 Cookie是Netscape公司开发的一种机制，用来改善HTTP协议的无状态性 。 用户的浏览器在Web节点上的每次访问都留下与用户有关的某些信息，在Internet上产生轻微的痕迹。在这个痕迹上的少量数据中，包含了计算机的名字和IP地址、浏览器的品牌和前面访问的网页的URL。 浏览器都提供一个选项，可以在服务器试图给浏览器一个Cookie时给出警告。如果打开这个警告，就可以选择拒绝Cookie。也可以手工删除所收集的所有Cookie。 6.3 Web服务器的安全配置 6.3.1 基本原则 6.3.2 Web服务器的安全配置方法 6.3.1 基本原则