2010Web与数据库安全管理1.ppt

Web与数据库安全管理 江苏天创科技有限公司 目录 一、Web应用安全 1. Web应用概述 2. Web应用安全基础 3. Web应用安全威胁和漏洞 4. 攻击手段（SQL注入为例） 5. Web应用安全技术 一、Web应用安全 目录 一、Web应用安全 1. Web应用概述 2. Web应用安全基础 3. Web应用安全威胁和漏洞 4. 攻击手段（SQL注入为例） 5. Web应用安全技术 1、Web应用概述 Web应用简史 最初，为便于共同开展科学研究，设计了最早的“Internet”。 1962年，麻省理工学院（MIT）的J.C.R. Licklider最早提出他的“Galactic Network”（超大网络）思想。 20世纪80年代中期，创建了超文本传输协议（HyperText Transfer Protocol, HTTP）以及第一个Web浏览器，叫做World Wide Web。 Web应用简史 浏览器日益兴起 Microsoft Internet Explorer Firefox Safari等等 Web静态页面（HTML） 动态页面 CGI JAVA语言产生-applet、Javascript Servlet JSP、ASP、PHP等等 Web应用典型 电子商务 网上银行 网上商户 网上支付 电子政务 信息门户，办公OA，政府采购，电子公文，网上审批，决策支持，协同办公 典型Web应用系统架构 常见的软件产品 客户端浏览器IE Web服务器 Apache IIS 应用中间件 BEA Weblogic IBM Webspehre JBOSS 2、Web应用安全基础 谈论到Web应用安全 破坏Web站点 窃取信用卡号码 使用拒绝服务攻击轰击Web站点的攻击者 病毒、特洛伊木马和蠕虫 最受关注的问题类型，代表了目前Web应用程序面临的一些最重要的威胁 误区-我们有防火墙，我们是安全的 防火墙可能没有检测到发送到Web应用程序的输入 恶意管理员对应用程序进行直接访问 防火墙是安全的一个必备部分，但它们本身并不是一个完整的解决方案 SSL对于将网络中的通信数据进行加密是很有用的，它并不验证应用程序的输入 Web应用安全在哪？ Web应用安全的基础 身份验证 身份验证提出这样的问题：您是谁？这是唯一地识别出应用程序和服务的客户端的过程。可能是最终用户、其他服务、进程或计算机。 Web应用安全的基础 授权 授权提出这样的问题：您能做什么？这是对经过身份认证的客户端允许访问的资源及执行的操作进行管理的过程。资源包括文件、数据库、表、行等等，以及系统级的资源，如注册表项和配置数据。操作包括对事务的执行，例如购买产品、把钱从一个帐户转到另一个帐户、或提高客户的信用等级。 Web应用安全的基础 审核 有效的审核和日志记录是不能否认的关键。不能否认保证一个用户不能执行了一项操作或开始了一个事务。例如，在一个电子商务系统中，需要不能否认机制来确保顾客不能否认订购了100本某种书。 机密性 机密性，也称保密性，是确保数据保持专用和机密的过程，未授权用户或通过网络监控通信流量的窃听者无法查看该数据。加密通常被用于加强机密性。 Web应用安全的基础 完整性 完整性保证数据部出现意外或蓄意（恶意）篡改的情况。和保密性一样，完整性也是一个主要关注点，特别是经过网络传送的数据。传输中数据的完整性通常是通过使用哈希技术和消息验证码提供的。 可用性 从安全的观点来看，可用性表示系统对于合法用户是始终有效的。许多使用拒绝服务攻击的目的是使应用程序崩溃或使其完全应接不暇，使得其他用户无法访问该应用程序。 如何构建一个安全的Web应用 应用长期经过验证的安全原则进行安全设计。 开发人员必须遵照安全编码技术来开发安全、可靠和能够抗攻击的解决方案。 保证部署安全的网络、主机和应用程序配置 保证网络、主机和应用程序的安全 “网络中的缺陷会允许恶意用户利用主机或应用程序。主机中的缺陷会允许恶意用户利用网络或应用程序。应用程序中的缺陷会允许恶意用户利用网络或主机。” Web应用安全原则 适用具有最少特权和访问权限的帐户运行进程 应用深入的防御手段 不要信任用户的输入 出现故障时的安全性 保证最脆弱的链接的安全 创建安全的默认值 减小受攻击的范围 Web应用系统安全技术方案 3、Web应用安全威胁和漏洞 Web应用安全威胁 对Web服务器的攻击，75%是通过应用程序而不是通过网络 每次对Web服务器或应用程序的小小改动，都会产生新的弱点 Web应用安全威胁 电子欺骗 键入其他用户的凭据 恶意用户还可能更改Cookie的内容以假装他是其他用户或Cookie来自其他服务器 篡改 未经授权的情况下更改或删除资源。 恶意用户进入网站并更改文件，从而使