第八讲Web服务的安全性.pptVIP

计算机网络安全 第八章 Web服务的安全性 Web服务的概念、类型与应用 Web服务的安全防范及对应的技术措施 Web服务中受到的攻击、密码破解的方法 邮箱系统的管理与安全配置 第八章 Web服务的安全性 8.1 Web服务的安全概述 8.1.1 网络服务概念 Web服务是基于HTTP协议的服务。大多数Web服务器和浏览器都对HTTP协议进行了必要的扩展，一些新的技术接口CGI通用网关程序、Java小程序、ActiveX控件、虚拟现实等，也开始应用于Web服务，使Web文本看上去更生动、形象，信息交互也显得更加容易。 Web服务在方便用户发布信息的同时，也给用户带来了不安全因素。尤其是在标准协议基础之上扩展的某些服务，在向用户提供信息交互的同时，也使得Web基础又增加了新的不安全因素。 8.1.2 Web服务的安全威胁 Web服务所面临的安全威胁： 1)机密信息所面临的安全威胁 2)WWW服务器和浏览器主机面临的安全威胁 其中，前一种安全威胁是因特网上各种服务所共有的，后一种威胁则是由扩展Web服务的某些软件所带来的。这两种安全隐患不是截然分开，而是共同存在并相互作用的，尤其是后一种安全威胁的存在，使得信息保密更加困难。 8.1.2 Web服务的安全威胁 1. 机密信息的安全威胁 通过Web服务传递信息时，对于机密信息需要防止搭线窃听，防止外部用户入侵主机。 2. 主机面临的威胁 1) CGI程序带来的威胁 CGI(Common Gateway Interface)是通用网关接口。它在服务器端与Web服务器相互配合，响应远程用户的交互性请求。允许用户选择一种语言，如C/C++、VB等进行编程，提供服务器端和远程浏览器之间的信息交互能力。 8.1.2 Web服务的安全威胁 CGI程序是Web安全漏洞的主要来源，其安全漏洞表现为以下几方面： (1) 泄露主机系统信息，帮助黑客入侵。 (2) 当服务器处理远程用户输入的某些信息(如表格)时，易被远程用户攻击。 (3) 不规范的第三方CGI程序，或存有恶意的客户向Web服务器发布的CGI程序，将对Web服务器造成物理或逻辑上的损坏，甚至将Web服务器上的整个硬盘信息复制到因特网的某一台主机上。 8.1.2 Web服务的安全威胁 2) Java小程序所带来的威胁 Java是由美国Sun公司于1995年推出的一种跨平台和具有交互能力的计算机程序语言。Java小程序为Web服务提供了相当好的扩展能力，并为各种通用的浏览器所支持。Java小程序由浏览器进行解释，并在客户端执行，因而把安全风险直接从服务器端转移到了客户端。 在NetScape中的Java的实现中存在一些特殊的安全漏洞，例如任意执行机器指令的能力，Java小程序的相互竞争力，与任意的主机建立连接的能力等。 8.1.2 Web服务的安全威胁 Java小程序还存在着下述安全漏洞： (1) 可以欺骗用户，将本地硬盘或连入网络的磁盘上的文件传送到因特网上的任意主机。 (2) 能获得用户本地硬盘和任何网络盘上的目录列表。 (3) 能监视用户在某段时间内访问过的所有网页，捕捉并传送到因特网上的任意主机。 (4) 能够在未经用户允许的情况下触发NetScape或Explore发送E-mail。 8.1.2 Web服务的安全威胁 3) ASP所带来的威胁 IIS提供了利用ASP动态产生网页的服务。一个ASP文件就是一个在HTML网页中直接含有程序代码的文件。回传一个监视文件，会促使IIS运行网页中内嵌的程序代码，然后将运行结果直接回送到浏览器上。此外，静态的HTML网页是按其原来的样子回传到浏览器上，而不经过任何解析处理。IE是利用文件的扩展名来区别文件的形态。扩展名为.htm或.html的文件属于静态HTML文件，扩展名为.asp的文件则是一个Active Server Pages文件。 8.1.2 Web服务的安全威胁 在所有网络安全漏洞里，很容易忽略的一个就是未经解析的文件内容或程序代码无意中被显示出来。简单地说，就是使用者能够从网页服务器上骗取动态网页里的程序代码。 只需利用一个简单的参数($DATA)便可看到ASP的原始程序。 8.1.2 Web服务的安全威胁 4) Cookie所带来的威胁 Cookie指的是一个保存在客户机中的简单的文本文件，它与特定的Web文档关联在一起，保存了该客户机访问这个Web文档时的信息，当客户机再次访问这个Web文档时这些信息可供该文档使用。 由于Cookie可以保存在客户机上，因此它具有记录用户个人信息的功能，但不必使用复杂的CGI等程序实现。 8.1.2 Web服务的安全威胁 Cookie在给用户带来方便的