第八章Web安全性.pptVIP

* CGI(Common Gateway Interface)即公共网关接口。它是运行于网络服务器上的一类程序，用于一个可以产生相同结果或随用户输入而变化结果的程序。CGI程序通常用于完成Web网页中表单数据的处理、数据库查询和实现与传统应用系统的集成等工作。 Common Gate Interface，简称CGI。在物理上是一段程序，运行在服务器上，提供同客户端 Html页面的接口。这样说大概还不好理解。那么我们看一个实际例子： 现在的个人主页上大部分都有一个留言本。留言本的工作是这样的：先由用户在客户端输入一些信息，如名字之类的东西。接着用户按一下“留言”（到目前为止工作都在客户端），浏览器把这些信息传送到服务器的CGI目录下特定的cgi程序中，于是cgi程序在服务器上按照预定的方法进行处理。在本例中就是把用户提交的信息存入指定的文件中。然后cgi程序给客户端发送一个信息，表示请求的任务已经结束。此时用户在浏览器里将看到“留言结束”的字样。整个过程结束。 * 工具--〉Internet选项--〉内容 IE的颜色足迹--〉工具--〉Internet选项--〉常规--〉辅助功能--〉格式--〉使用相同颜色 安全区域设置：工具--〉Internet选项--〉安全--〉受限制的站点--〉站点 * 删除HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings\Cache\SpecialPaths\Cookies，重启计算机，并删除硬盘上的Cookies文件夹。 第八章 Web的安全性 网 络 安 全 CH8　Web的安全性 * 本章内容 8.2　Web服务器的安全性 8.3　脚本语言的安全性、SQL注入 8.4　旁注WEB综合检测程序 8.5　WEB浏览器的安全 8.1　Web安全性概述 * 网站被黑案例 恶意攻击者针对Paypal发起了攻击，他们将Paypal用户重新引导到另一个恶意网站并警告用户，他们的账户已经失窃。用户们被引导到另一个钓鱼式网站上，然后输入自己的Paypal登录信息、社会保险号和信用卡资料。 俄罗斯黑客在2006年1月份利用SQL注入攻击攻破了美国罗得岛政府网站，窃取了大量信用卡资料。 澳大利亚的一个税务网站在2000年被一位用户攻破。那位用户只是在网站地址中更改了税务ID账号就获得了1.7万家企业的详细资料。黑客以电子邮件的方式通知了那1.7万家企业，告知它们的数据已经被破解了。 * 思考 一服务器上运行着三种服务。一个是传统等WEB服务;二是FTP服务;三是OA(办公自动化)服务，因为该服务是WEB模式的，互联网上也可以直接访问OA服务器，所以也部署在这台服务器上。 由于这台服务器的配置还是比较高的，所以，运行这三个服务来说，没有多少的困难，性能不会有所影响。 现在的问题是，如何来保障它们的安全，FTP服务器、OA服务器与Web服务器之间安全上不会相互影响呢?  * 　影响Web安全性的因素主要有以下几个方面。 （1）???由于Web服务器存在的安全漏洞和复杂性，使得依赖这些服务器的系统经常面临一些无法预测的风险。 （2）?? Web程序员由于工作的失误或程序设计上的漏洞，也可能造成Web系统的安全缺陷。 （3）???用户通过浏览器和Web站点交互时，由于浏览器本身的安全漏洞，使得非法用户可以通过浏览器攻击Web站点。 　　 8.1 Web安全性概述 　　 * 8.1.1 Internet安全隐患 Internet是一个开放的、无控制机构的网络 TCP/IP通信协议存在不安全因素 网络操作系统中存在的安全脆弱性问题 电子邮件存在着被拆看、误投和伪造的可能性 病毒的传播 * 8.1.2 Web安全问题 未经授权的存取 窃取系统信息 破坏系统 非法使用 ?病毒破坏 * 　相对于传统的C/S应用模式，增加了Web服务器作为软件开发和应用平台的优点有： （1）????统一的客户界面 （2）????平台独立性 （3）?? 高可靠性、高可扩展性 （4）??? 并行性和分布性 （5）????易用性和通用性 8.2 Web服务器的安全性 8.2.1 Web服务器3层模式 * 8.2.2 Web服务器存在的漏洞 物理路径泄露 目录遍历 例：/scripts/..%5c../Windows/System32/cmd.exe?/c+dir+c:\ 缓冲区溢出 拒绝服务 条件竞争 * 8.2.3 Web服务器的安全设置 1.构造一个安全系统 （1） 使用NTFS文件系统 （2） 关闭默认共享 （3）?修改共享权限 （4） 为系统管理员账号更名 （5）?禁用TCP/IP 上的NetBIOS （6）?T