网络安全原理与应用教学课件PPT WWW安全性.ppt

网络安全原理与应用 第9章 WWW安全性 9.1 WWW安全概述 Web安全我们通常把它分为三个层次： 网络安全 如防火墙、路由器、网络结构等相关的安全问题　 系统与服务安全 如Window/Linux/Unix系统本身的漏洞或运行于其上的服 务的安全　 Web应用程序安全 具体应用程序的安全性漏洞，比如：某网站邮件系统因 为存在脚本安全性问题，导致该邮件系统的用户在收到 具有恶意代码的邮件时，不知不觉的其密码与帐号信息 被人窃取。 9.1 WWW安全概述 当讨论起 Web 应用安全，我们经常会听到这样的回答： “我们使用了防火墙”、 “我们经常使用网络扫描工具进行网络扫描”、 “我们使用了 SSL 技术”、 “我们每年会对Web网站进行风险评估， 所以，“我们的WEB应用是安全的” 据最新资料统计：有70%的网站都存在有安全风险 典型案例 上海某企业家的银行卡的资金不明转出，且被人取走，报警后，经警方多方调查跟踪，最终查明：其经常使用网上银行的笔记本电脑中了“灰鸽子”木马，导致其操作电脑的行为及其电脑上的现在资源完全暴露无遗。 “灰鸽子”是如何跑到其计算机上的呢？它主要通过捆绑的方式进行传播： 比如你的网友，向你推荐一款你比较感兴趣的免费软件，该软件内部已经绑定了“灰鸽子”木马程序， 更多的是通过网页来传播。比如，通过脚本注入的方式，强行的不停的提示你下载并运行该程序； 通过上传漏洞上传到一个你信任的网站上，当它提示你下载并安装时，你发现它来自你信任的网站，于是就接受了... Web 应用的三层架构模型 Web 应用的三层架构模型 在这种最常见的模型中： 客户端是第一层； 动态 Web 内容及使用技术的部分属于中间层； 数据库是第三层。 用户通过 Web 浏览器发送请求（request）给中间层，由中间层将用户的请求转换为对后台数据的查询或是更新，并将最终的结果在浏览器上展示给用户。 信息安全全景 信息安全全景 在企业 Web 应用的各个层面，都会使用不同的技术来确保安全性： 为了保护客户端机器的安全，用户会安装防病毒软件； 为了保证用户数据传输到企业 Web 服务器的传输安全，通信层通常会使用 SSL（安全套接层）技术加密数据； 企业会使用防火墙和 IDS（入侵诊断系统）/IPS（入侵防御系统）来保证仅允许特定的访问，不必要暴露的端口和非法的访问，在这里都会被阻止； 企业用户依然会使用身份认证机制授权用户访问 Web 应用 网络脆弱性扫描工具，它仅仅用来分析网络层面的漏洞，不了解应用本身，不能彻底提高Web应用安全性； 防火墙可以阻止对重要端口的访问，但是 80 和 443 端口始终要开放，我们无法判断这两个端口中通讯数据是善意的访问还是恶意的攻击； SSL可以加密数据，但是它仅仅保护了在传输过程中数据的安全性，并没有保护 Web 应用本身； 定期的渗透测试，无法满足处于不断变更之中的应用。 只要访问可以顺利通过企业的防火墙，Web应用就毫无保留的呈现在用户面前。只有加强 Web 应用自身的安全，才是真正的 Web 应用安全解决之道. 9.1.2 Web服务面临的安全威胁 1．电子欺骗 “电子欺骗”是指以未经授权的方式模拟用户或进程。通过假冒合法用户的身份来进行网络攻击，从而达到掩盖攻击者真实身份，嫁祸他人的目的。 用户可以通过使用严格的身份验证来防止电子欺骗。 2．篡改 篡改是指在未经授权的情况下更改或删除资源。例如，恶意用户进入站点并更改文件，从而使Web页变得面目全非。 防止篡改的主要方法是使用Windows安全性锁定文件、目录和其他Windows资源。 应用程序应该以尽可能少的特权运行。 3．否认 否认就是用户（合法的或者非法的）否认他们曾执行过特定操作或者事务。否认威胁是指隐藏攻击的证据。 如何防护？ 用户可以使用严格的身份验证来防止否认，比如，使用数字签名。 使用Windows的日志记录功能来保存服务器上任何活动，以便审计追踪。 审核不足，则很难检验否认攻击。 4．信息泄露 攻击者通过各种手段，非法访问Web服务器，获取敏感信息，比如，查看他或者她没有被授权打开的表或者文件的内容；或监视通过网络传输的、明文形式的数据，中途截获Web服务器和浏览器之间传输的敏感信息；或由于系统配置、软件等原因无意泄露的敏感信息。 典型示例：偷窃密码，涉及对服务器上的任何文件或资源的访问。 如何防护？ 使用身份验证确保只有经过授权的用户能够访问受限制的信息。 对信息进行加密来防止信息泄露。 5．拒绝服务 拒绝服务： 就是使系统或者应用程序不可使用。 攻击者在短时间内向服务器发送大量的请求包，使得目标机器的资源耗尽，根本无法响应正常的服务。 或者通过给服务器传递格式错误的输入数据以