计算机安全技术大作业.doc

上海XXXX 计算机安全技术大作业 题目: WEB安全 　　　　　　　　　 学号： 2008XXXX 学生姓名： XXXX 院系：　　 计信学院 　 专业： 软件工程 班 级： 2008XXXX 2011 年　6　月　20　日 目录 一、Web攻击原理和过程 3 （一）、常见的Web攻击行为 3 （二）、Web站点欺骗攻击行为特点 4 （三）、攻击过程分析 4 二、防范对策 6 三、Web服务器的安全措施 6 （一）服务器日常维护的注意事项 6 （二）Web服务器与用户之间的认证 7 四、结论 10 WEB安全 摘要： 随着计算机网络技术的飞速发展，互联网已经与人们的生活不可分割。越来越多的用户通过Web获得信息，进行网上交流和网上交易，然而很少有用户能意识到正当他们使用Web时，却有少数网络攻击者正窥视着他们的一举一动，利用这大多数网络用户网络安全知识的缺乏和疏忽进行一些网络攻击和破坏。Web面临着各种各样的安全威胁。 本文通过分析Web攻击原理和过程包括常见的Web攻击行为、Web站点欺骗攻击行为的特点以及Web站点欺骗攻击过程，阐述了对于Web站点欺骗攻击的主要防范方法，得出了几种Web服务器安全措施，如服务器日常维护的注意事项、Web服务器与用户之间的认证、Web服务认证实例。 关键字：Web攻击、防范对策、安全措施 引言：计算机科学以及web技术的发展，给人们生活的方方面面带来了方便。然而在用户通过Internet获取和共享各种信息的同时，用户的信息安全也处于少数网络攻击者的窥视之下。稍不注意，就会给用户带来损失。接下来从几个方面来谈论一下Web欺骗与防范。越来越多的用户通过Web获得信息，进行网上交流和网上交易，然而很少有用户能意识到正当他们使用Web时，却有少数网络攻击者正窥视着他们的一举一动，利用这大多数网络用户网络安全知识的缺乏和疏忽进行一些网络攻击和破坏。Web面临着各种各样的安全威胁。接下来从几个方面来谈论一下Web欺骗与防范。 一、Web攻击原理和过程 （一）、常见的Web攻击行为 1、Web信息虚假行为 从安全的角度认为，那些提供虚假网络信息的网站也要归类为一种网络攻击，是虚假服务提供者对网络用户的一种攻击行为，浪费了用户的时间、金钱（网络费用），甚至给网络用户带来病毒和后门。此外，Web站点的广泛应用，诱惑着网上的欺诈行为。类似的例子是张贴在街头的小广告，我们仅凭看到的一些信息，无法分辨哪些是真，哪些是假，而在Web上，这种欺诈就变得更加容易了。 用户在使用计算机时总是根据他们所看到的内容做出关于安全性的决定。比如，也许会看到银行的Web页面时输入在该银行的账户和口令，而很少有人会想，这Web页面是不是来自银行的信息。 尽管目前已经有一些安全的交易软件问世，但并不是每个站点都使用它。因此，对于不安全的交易，给以自己的信用卡号或其他社会安全号码（比如身份证号）时就要十分地小心。 2、基于cookie欺骗的Web攻击 很多社区网为了方便网友浏览，都使用了cookie技术以避免多次输入密码，所以只要对服务器递交给用户的cookie进行改写就可以达到欺骗服务程序的目的。 按照浏览器的约定，只有来自同一域名的cookie才可以读写，而cookie只是浏览器的，对通信协议无影响，所以要进行cookie欺骗可以有多重途径。 （1）跳过浏览器，直接对通信数据改写。 （2）修改浏览器，让浏览器从本地可以读写任意域名cookie。 （3）使用签名脚本，让浏览器从本地可以读写任意域名cookie。 （4）欺骗浏览器，让浏览器获得假的域名。 3、错误与疏漏 Web管理员、Web设计者、页面制作人员、Web操作员以及编程人员有时会无意地犯些错误，导致一些安全问题。很多时候，这种错误本身就是一种威胁。编程的错误可能导致系统崩溃或是损害系统安全。 安装和维护中的错误也会引起安全问题。比如，在Java小应用程序中，如果NetscapeNavigator在安装时将Java脚本对话框禁止使用，则用户受到的威胁就小多了。 （二）、Web站点欺骗攻击行为特点 在假日消费高峰期间，许多购物者依靠方便而快捷的网上购物来满足自己的购物需求。如果客户是他们中的一员，那么和拥挤的超市和礼品店中一样，在网络上购物也要万分小心。否则，客户将被一些不怀好意的人所利用。 怀有恶意的黑客和病毒制造者会引诱客户访问他们制作的欺骗性站点，客户可能会