学习情境三校园网中主要工作的操作系统平台的配置.PPTVIP

第七章 Web的安全性 主要内容 Web的安全性概述 Web服务器的安全(IIS) 脚本语言的安全性 CGI 程序的安全性 VBScript 语言的安全性 JavaScript语言的安全性 Web浏览器的安全(IE) 　Web站点安全概述 Web站点的五种主要安全问题 1）未经授权的存取动作。 2）窃取系统的信息。 3）破坏系统。 4）非法使用。 5）病毒破坏。 影响Web站点安全的因素 （1）网络系统的安全漏洞 （2）操作系统类安全漏洞 （3）应用系统的安全漏洞（IIS） （4）脚本的安全漏洞 （5）其他安全漏洞 操作系统的选择 什么样的平台对Web服务器来说更安全？ 1 Windows +IIS 2 Unix+Apache 3 solaris 4 Linux +Apache（Tomcat） 每一个不同的平台都有其不同的安全含意，但是不能彼此比较安全性。尽管你应该注意每个操作系统的安全性，但是这不应该成为你选择平台的主要标准。 选择一个安全的Web服务器 在增强服务器的安全性时，应该有三个目的：????A.配置你的程序使它只能提供你指定的服务。????B.不到必要的时候不暴露任何信息。????C.如果系统遭到入侵，最大限度地减少损坏 IIS 的安全 1.安装时应注意的安全问题 2.用户控制的安全性 3.登录认证的安全性 4.访问权限控制 5.IP地址的控制 6.端口安全性的实现 7.IP转发的安全性 8.SSL安全机制（SSL安全演示实验） 请求不存在的扩展名为idq或ida 文件 什么CGI --Common Gateway Interface 一种基于浏览器的输入、在Web服务器上运行的程序方法。CGI脚本使你的浏览器与用户能交互，为了在数据库中寻找一个名词，提供你写入的评论，或者从一个表单中选择几个条目并且能得到一个明确的回答。如果你曾经遇到过在web上填表或进行搜索, 你就是用的CGI脚本。 网络服务器开放的构造允许任意的CGI脚本可在对远程服务请求有应答服务器上执行。安装在你的网站上任何CGI脚本都含有漏洞，每一个这样的漏洞都是一个潜在的安全漏洞。 CGI语言，如Perl，Php，C，VC++等都可以称为CGI语言 CGI安全 一是Web服务器的安全。 1.Web服务器软件编制中的BUG。 2.服务器配置错误。 这可能导致CGI源代码泄露。 一是CGI语言的安全。 ASP安全 1、ASP源代码的泄漏 2、密码验证时的漏洞 3、数据类型判断上的漏洞 4、来自filesystemobject的威胁 5、ASP.NET编程时的漏洞 Web浏览器的安全---- 浏览器本身的漏洞 缓冲区溢出漏洞 递归Frames漏洞 快捷方式漏洞 重定向漏洞 ActiveX的安全性 　 ActiveX的安全漏洞 IE浏览器中ActiveX设置 Cookie的安全性 Cookie的设置 返回本节 通过请求一个不存在的扩展名为idq或ida得文件，IIS会暴露文件在服务器上得物理地址. 测试程序：  http://someurl/anything.ida http://someurl/lunwen/anything.ida或: http://someurl/anything.idq一个远端用户可以收到类似：The IDQ d:\http\anything.idq could not be found的响应。这样的一个响应就会让攻击者获得了Web站点的物理路径，并且还可以获得更多的有关该站点在服务器上的组织与结构。