Web的安全威胁与防护.pdfVIP

Web的安全威胁与防护

Web的安全威胁与防护

摘要文章对Web的安全威胁进行分析，提出了Web安全防护措

施，并基于Windows平台简述了一个Web安全防护策略的具体应用。

关键词Web；网络安全；安全威胁；安全防护

1引言

随着Internet的普及，人们对其依赖也越来越强，但是由于

Internet的开放性，及在设计时对于信息的保密和系统的安全考虑不

完备，造成现在网络的攻击与破坏事件层出不穷，给人们的日常生活

和经济活动造成了很大麻烦。WWW服务作为现今Internet上使用的

最广泛的服务，Web站点被黑客入侵的事件屡有发生，Web安全问题

已引起人们的极大重视。

2Web的安全威胁

来自网络上的安全威胁与攻击多种多样，依照Web访问的结构，

可将其分类为对Web服务器的安全威胁、对Web客户机的安全威胁

和对通信信道的安全威胁三类。

2.1对Web服务器的安全威胁

对于Web服务器、服务器的操作系统、数据库服务器都有可能存

在漏洞，恶意用户都有可能利用这些漏洞去获得重要信息。Web服务

器上的漏洞可以从以下几方面考虑：

2.1.1在Web服务器上的机密文件或重要数据（如存放用户名、

口令的文件）放置在不安全区域，被入侵后很容易得到。

2.1.2在Web数据库中，保存的有价值信息（如商业机密数据、

用户信息等），如果数据库安全配置不当，很容易泄密。

2.1.3Web服务器本身存在一些漏洞，能被黑客利用侵入到系统，

破坏一些重要的数据，甚至造成系统瘫痪。

2.1.4程序员的有意或无意在系统中遗漏Bugs给非法黑客创造条

件。用CGI脚本编写的程序中的自身漏洞。

2.2对Web客户机的安全威胁

现在网页中的活动内容已被广泛应用，活动内容的不安全性是造

成客户端的主要威胁。网页的活动内容是指在静态网页中嵌入的对用

户透明的程序，它可以完成一些动作，显示动态图像、下载和播放音

乐、视频等。当用户使用浏览器查看带有活动内容的网页时，这些应

用程序会自动下载并在客户机上运行，如果这些程序被恶意使用，可

以窃取、改变或删除客户机上的信息。主要用到JavaApplet和

ActiveX技术。2、基于XML技术

将用户自定义的三维数据集成到XML文档中，通过浏览器对其进

行解析后实时展现给用户。通过三维建模工具和可视化软件实现；在

三维对象和三维场景展示时，文件数据量小。需要安装插件；文件传

输快，可被快速下载；呈现的图象质量较好；与其他多技术集成能力

强；兼容性好，适合于三维对象和场景的展示。直接将交互的虚拟场

景嵌入到视频中去。通过实景照片和场景集成软件来实现；在场景模

拟时，文件数据量较小。需要下载插件；用户可快速浏览文件；三维

场景的质量高；兼容性好，可以实现360度全景虚拟环境。版本浏览

器预装插件；文件传输慢，下载时间长；呈现的图像质量不高；与其

他多技术集成能力及兼容性弱，适合于三维对象和场景的展示。

JavaApplet使用Java语言开发，随页面下载，Java使用沙盒

(Sandbox)根据安

全模式所定义的规则来限制JavaApplet的活动，它不会访问系统

中规定安全范围之外的程序代码。但事实上JavaApplet存在安全漏