《物联网信息安全》_第7章 Web的安全性.pptVIP

MicrosoftIIS5.0在处理以.ida为扩展名的URL请求时，它会有两种结果。一个可能的结果是服务器回复URLStringtoolong的信息；或类似Cannotfindthespecifiedpath的信息。另一种可能就是服务器端服务停止，并返回AccessViolation信息(即成功的实现了对服务器端的拒绝服务攻击)

当远端攻击者发出类似如下的请求时：

http://someurl/...[25kbof.]...ida

服务器端会崩溃(导致拒绝服务攻击)或返回该文件不在当前路径的信息

问题解决或者建议：

大多数情况下，站点很少使用扩展名为.ida和.idq的文件，可在ISAPI脚本映射中，将扩展名为.ida和.idq的应用程序映射删除。IIS5.0超长URL拒绝服务漏洞什么CGI--CommonGatewayInterface一种基于浏览器的输入、在Web服务器上运行的程序方法。CGI脚本使你的浏览器与用户能交互，为了在数据库中寻找一个名词，提供你写入的评论，或者从一个表单中选择几个条目并且能得到一个明确的回答。如果你曾经遇到过在web上填表或进行搜索,你就是用的CGI脚本。网络服务器开放的构造允许任意的CGI脚本可在对远程服务请求有应答服务器上执行。安装在你的网站上任何CGI脚本都含有漏洞，每一个这样的漏洞都是一个潜在的安全漏洞。CGI语言，如Perl，Php，C，VC++等都可以称为CGI语言CGI安全一是Web服务器的安全。1.Web服务器软件编制中的BUG。2.服务器配置错误。这可能导致CGI源代码泄露。一是CGI语言的安全。ASP安全1、ASP源代码的泄漏2、密码验证时的漏洞3、数据类型判断上的漏洞4、来自filesystemobject的威胁5、ASP.NET编程时的漏洞7.4Web浏览器的安全性 7.4.1浏览器本身的漏洞Web浏览器的高低等级划分7.4.2ActiveX的安全性ActiveX是一个开放的集成平台，可轻松方便的在Web页中插入多媒体效果、交互式对象、以及复杂程序。ActiveX脚本支持最常用脚本语言,包括MicrosoftVisualBasic脚本和JavaScript。ActiveX脚本可用于集成行为若干ActiveX控件或Java程序从Web浏览器或服务器,扩展其功能。7.4.3Cookie的安全性Cookie，直译为小甜饼、小点心。而计算机科学行话中的“Cookie”仅仅表示一块由应用程序持有的不透明数据，它会影响用户但永远不会由用户直接管理。所谓Cookie，只是一条极为短小的信息，它能够被网站自动地放置在浏览器电脑的硬盘中。通过Cookie，网站可以识别你是第一次访问，或是又一次访问它。网站还可以利用Cookie了解你对哪些内容感兴趣，你经常访问哪些方面的信息。在你浏览Web站点时，网站的程序会根据你的喜好为你提供相应的内容。默认情况下，Cookie被放置在\windows\system32\config\systemprofile\7.4.4浏览器客户的安全WWW上存在着安全隐患，用户会在不知不觉中陷入恶意网页、网络欺诈的陷阱，导致严重后果。1、防范恶意网页有些Web服务器，在它的网页中嵌入CGI、Java、cookie等程序，当用户访问时，这些程序会利用一些漏洞，修改客户端资料，获取用户个人信息等非法操作，这些网页称为恶意网页。被恶意网页感染，一般会出现以下症状被恶意网页感染，一般会出现以下症状：默认主页被更改，并且无法设置。无法进入Dos模式。桌面及图标被隐藏。注册表编辑器被锁定。系统损坏，硬盘被格式化等。其它系统异常信息。①解开被禁用的注册表新建注册表类文件.reg——输入内容：WindowsRegistryEditorVersion5.00[HKEY_CURRENT_USER\Software\Microsoft\CurrentVersion\Policies\System]“DisableRegistryTools”=dword——存盘后运行。②解决IE属性主页不能修改打开注册表编辑器HKEY_USERS\DEFAULT\Software\Policies\Microsoft\InternetExplorer\ControlPanel，将键“Homepage”的值由1改为0。（1）网页病毒的修复③修改IE的标题栏将注册表HKEY_LOCAL_MACHIE\Software