浅述浏览器网页安全问题.docVIP

浅述浏览器网页安全问题 　　1 引言 　　根据百度百科的定义，浏览器是指能够显示网页服务器或者文件系统的HTML文件内容，并让用户与这些文件进行交互的一种软件。按照应用环境划分，分为网页浏览器和手机浏览器。其中，网页浏览器主要是通过HTTP协议与网页服务器交互并获取网页，通常这些网页是由URL来指定的。常用的网页浏览器包括IE浏览器、Firefox浏览器、Safari浏览器， Chrome浏览器、搜狗浏览器、UC浏览器等。手机浏览器则是一种用户在移动设备终端，例如手机或PDA上通过通讯网络进行互联网内容浏览的移动互联网工具，也叫做移动浏览器。 　　随着人们越来越频繁的使用浏览器连接各类互联网应用，浏览器成为众多网络攻击瞄准的目标，大量的浏览器安全问题，例如网络钓鱼、跨站攻击、网页木马和病毒后门程序等也随之剧增，因此浏览器安全已经成为人们最为关心如何解决的一个问题。 　　2 浏览器网页安全问题的分类 　　根据对浏览器不同方面的威胁，浏览器安全主要涉及五个方面：网页安全、下载安全、插件安全、支付安全和个人信息安全。本文将主要针对网页安全问题进行分析，网页安全主要包括浏览器安全漏洞检测、网页/网址认证以及网页/网址防护。 　　2.1 浏览器安全漏洞检测 　　漏洞即某个程序在设计时未考虑周全，当程序遇到一个看似合理，但实际无法处理的问题时，引发的不可预见的错误。浏览器作为客户端程序，其漏洞的存在是由于编程人员的能力、经验和技术所限，在程序中难免会有不足之处。由于程序结构的复杂性，浏览器自身存在大量的安全漏洞。漏洞本身虽然不带任何属性，但是漏洞可以被恶意用户利用进入电脑执行任意代码，不但会造成信息泄露，严重的甚至会破坏磁盘文件系统等，造成极大的安全威胁。 　　目前，针对安全漏洞的检测主要是采用漏洞扫描技术，即利用漏洞扫描和安全评估软件对整个网络进行全面的扫描、分析和评估。一般采用下述的两种策略：策略一是首先扫描目标主机的端口，目的在于对指定端口进行监听以及识别网络服务所属类别。然后利用系统的操作平台，查看在漏洞库中是否存在满足了匹配条件的漏洞，具体为根据存在于漏洞库中的所有漏洞进行一一的排查。最后模拟黑客对系统进行攻击，假如模拟攻击成功，就说明系统中的确存在着安全漏洞。策略二则是采用插件技术，为了检测出系统中的漏洞，通过调用插件来运行扫描程序。安全漏洞的针对型扫描能够建立和提高用户的安全策略，及时发现并弥补安全漏洞。 　　2.2 网页/网址认证 　　安全认证是一个通过验证被认证对象的属性，来确认被认证对象是否属实有效的过程。所述属性包括口令、数字签名或者生理特征等，例如指纹、掌纹或虹膜。认证技术是现代密码学的一个分支，目前通常认为存在两种认证技术，分别是身份认证和消息认证。 　　第一种是身份认证技术，顾名思义其是用于鉴别用户的身份，能够对信息收发方进行真实身份鉴别。在开放式的网络环境中，身份认证往往是许多应用系统安全保护的第一道防线。在身份认证过程中一般使用三个要素：只有主体知道的秘密、主体拥有的物品和只有该主体具有的独一无二的特征或能力。常用的身份认证技术则包括RMI技术、SOAP技术、基于Cookie的单点登录认证等。 　　第二种是对收到的消息进行验证的消息认证技术，目的是确认消息的确是来自真正的发送方且未被篡改，同时也能够验证消息的顺序性和及时性，已广泛应用于信息网络。消息认证的实质是针对消息自身生成冗余信息，即被称作MAC的消息认证码。MAC用于检测消息的完整性和进行消息源认证，具体是使用密钥对待认证消息生成新数据块并通过对数据块加密而生成。由于MAC相对于待保护的信息而言具有唯一性，因此可以实现待认证消息是完整的，并且能够保证消息的无法抵赖和伪造。构造MAC通常利用以下三种方法：基于带密钥的Hash函数，基于分组密码以及基于流密码。 　　2.3 网页/网址防护 　　浏览器中的网页/网址防护技术主要有风险隔离技术和风险拦截技术。首先是风险隔离技术，其最著名的为沙盒（Sandbox）技术。其主要用于控制代码的执行权限，是浏览器保护安全的一种组件关系设计模式。相当于在沙盘中运行浏览器，通过加载自身的驱动来保护底层数据，建立虚拟环境隔离病毒、木马，使其不会影响用户的真实电脑，属于驱动级别的保护。该技术的实现是利用操作系统提供的权限来控制应用程序界面和访问拦截技术，而更为先进的沙盒技术则需要使用虚拟CPU技术。其次是风险拦截技术，也被称为“网页防火墙”，主要包括几种拦截机制：URL拦截、恶意脚本拦截、堆喷拦截、下载拦截、进程拦截和自我保护等。 　　3 浏览器网页安全问题防范技术的优势及不足 　　3.1 浏览器安全漏洞检测技术 　　浏览器安全漏洞检测技术目前尚存在有不足之处。首先是规则库问题。由于确认系