第六章应用安全

1、LOGO应用安全应用安全德州科技职业学院德州科技职业学院佟佳哲佟佳哲本章要点1电子商务安全的现状2. 加密技术、数字签名技术和数字时间戳3. 认证技术4.电子商务安全协议：SSL协议和SET协议5. 浏览器、服务器安全问题6. HTTP协议、HTML语言德州科技职业学院德州科技职业学院佟佳哲佟佳哲应用安全vInternet 无处不在，web要广泛地使用，它的安全性就是必须要考虑的重要问题之一。德州科技职业学院德州科技职业学院佟佳哲佟佳哲6.1web技术简介 web又称world wide web（万维网），其基本结构是采用开放式的客户机/服务器结构（Client/Server），分成服务器端、

2、客户机接收端及传输规程3个部分。服务器规定传输设定、信息传输格式和服务器本身的开放式结构，客户机统称浏览器，用于向服务器发送资源索取请求，并将接收到的信息进行解码和显示；通信协议是web浏览器与服务器之间进行通信传输的规范。 德州科技职业学院德州科技职业学院佟佳哲佟佳哲6.1.1HTTP协议vHTTP（超文本传输协议）是分布式的web应用的核心技术协议，在TCP/IP协议栈中属于应用层。他定义web浏览器向web服务器发送索取web页面请求格式以及文页面在Internet上的传输方式。HTTP协议一直在不断发展和完善。德州科技职业学院德州科技职业学院佟佳哲佟佳哲6.1.2HTML语言与其他的w

3、eb编程语言vWeb的特点决定了web的内容必须能够以适当的形式来组织和安排，使得他在各种平台上的web浏览器上能够得到正确的解释，并具有丰富层次的界面。vHTML几乎为所有常见的web浏览器所支持。vHTML中可以包括层叠式样表CSS。CSS属于一种式样设计模版。它能够帮助用户控制HTML元素的呈现方式和轮廓，将HTML的内容制作和式样设计分开。德州科技职业学院德州科技职业学院佟佳哲佟佳哲6.1.3web服务器vInternet上众多的web服务器汇集了大量的信息，web服务器的作用就是管理这些文档，处理用户发来的各种请求，将满足用户要求的信息返回给用户。v 其实，本质上来说，web服务器是

4、驻留在服务器上的一个程序，通过web浏览器与用户交互操作，为用户提供兴趣信息。德州科技职业学院德州科技职业学院佟佳哲佟佳哲6.1.4web浏览器vWeb浏览器是阅读web上信息的客户端软件。如果用户在本地上安装了web浏览器软件，就可以读取web上的信息了。德州科技职业学院德州科技职业学院佟佳哲佟佳哲6.1.5公共网关接口vCGI（公共网关接口）是web信息服务器与外部应用程序之间交换数据的标准接口。v1.CGI的功能 （1）收集从web浏览器发送给web服务器的信息，并且把这些信息传送给外部程序。 （2）把外部程序的输出作为web服务器对发送信息的web浏览器的响应，发送给该web浏览器。

5、（3）通过CGI程序，web服务器真正实现了与web浏览器用户之间的交互。比如：可以收集用户意见和建议、根据用户要求，从服务器上的数据库中提取相关信息并回传给用户、为用户创建动态的图表，如股票市场动态走势图等德州科技职业学院德州科技职业学院佟佳哲佟佳哲6.1.5公共网关接口vCGI工作原理 在HTML文件中，表单与CGI程序配合使用，共同来完成信息交流的目的。一般过程如下：1.用户web浏览器提交表单登录2.Web浏览器发送登录请求到web服务器3.Web服务器分析web浏览器发送来的数据包，确认是CGI请求，然后通过CGI将表单数据按照一定格式发送给相应的CGI应用程序。4.CGI应用程序对

6、数据处理、验证，将动态生成的页面发送给web服务器。5.Web服务器把CGI应用程序生成的页面发送给请求登录的web浏览器。6.Web浏览器接收到并解释、显示页面。德州科技职业学院德州科技职业学院佟佳哲佟佳哲6.1.5公共网关接口vCGI与服务器的交互关系1.Post方式。Web服务器通过标准输入方式把数据转换交给CGI应用程序。数据处理完毕后，将结果输出到标准输出即可为web服务器所接收。2.Get方式。在UNIX类的系统中，web服务器通过环境变量把数据交给CGI应用程序。德州科技职业学院德州科技职业学院佟佳哲佟佳哲6.2web的安全需求v6.2.1web的优点与缺点 web带来的利益 建

7、立和使用网站不再是困难的事情。软件丰富，硬件价格低廉，web服务可以减轻商家负担，提高用户满意度，节省人力，商家可以很容易的把服务推广到全球网络覆盖的地方。随着web技术的不断更新和完善，他肯定会推出更加先进的服务。Web带来的忧虑 1.信息泄露 2.拒绝服务 3.系统崩溃 4.跳板 德州科技职业学院德州科技职业学院佟佳哲佟佳哲6.2.2web安全风险与体系结构v Web的安全有很多因素需要考虑，比如：web服务器的安全、web服务器所在的网络安全、web浏览器的无辜用户的安全风险等。 1.web的安全体系结构Web的安全体系结构非常复杂，具体来说，包括以下几个方面： web浏览器软件的安全

8、web服务器上web服务器软件的安全 主机系统的安全 客户机端的局域网 服务器端的局域网 Internet德州科技职业学院德州科技职业学院佟佳哲佟佳哲6.2.2web安全风险与体系结构v2.主机系统的安全 主机系统的安全指浏览器端的计算机设备及其操作系统的安全。 通常情况下，对某计算机的使用权限，主要是通过口令来约束的。 关于口令不安全主要有以下几点： （1）大部分计算机没有提供认证系统，根本没有口令与身份认证的概念。 （2）非法获取口令，这是网络上主机的最大的安全威胁。主要有两种途径： 一、口令破译 二、口令监听德州科技职业学院德州科技职业学院佟佳哲佟佳哲6.2.2web安全风险与体系结构v

9、3网络系统的安全v4web应用的安全 （1）web服务器的安全需求 （2）web浏览器的安全需求 （3）web传输过程的安全需求德州科技职业学院德州科技职业学院佟佳哲佟佳哲6.2.3web服务器的安全需求v要真正做到安全，要考虑安全需求，主要有以下几个方面： 1.维护公布信息的真实、完整性 2.维持web服务的安全可用 3.保护web访问者的隐私 4.保证web服务器不被入侵者作为“跳板”使用德州科技职业学院德州科技职业学院佟佳哲佟佳哲6.2.4web浏览器的安全需求v一般情况下，用户使用web浏览器获取信息时，安全需求有以下几个方面： 1.确保运行浏览器的系统不被病毒或者木马或者其他恶意程序

10、侵害而遭受破坏。 2.确保个人安全信息不外泄。 3.确保所交互的站点的真实性，以免被骗，遭受损失。德州科技职业学院德州科技职业学院佟佳哲佟佳哲6.2.5web传输的安全需求v不同web应用对于传输有不同的要求，但一般都包括以下几个方面： 1.保证传输方（信息）的真实性。 2.保证传输信息的完整性。 3.特殊的安全性较高的web，需要传输的保密性。 4.认证应用的web，需要信息的不可否认性。 5.对于防伪要求较高的web应用，保证信息的不可重复性 。德州科技职业学院德州科技职业学院佟佳哲佟佳哲6.3web服务器安全策略v6.3.1定制安全政策 无论多么优秀的系统，必须有人的安全管理和合法地使用

11、；否则，就没有安全可言。所以，要有安全政策。他包括以下几个方面： 1.定义安全资源，进行重要等级划分 2.进行安全风险评估 3.制定安全策略的基本原则 4.简历安全培训制度 5.具有意外事件处理措施德州科技职业学院德州科技职业学院佟佳哲佟佳哲6.3web服务器安全策略v6.3.2认真组织web服务器 服务器的安全策略有很多内容，再次简单说明几个必须的内容。 1.认真选择web服务器设备和相关软件 2.仔细配置web服务器 （1）将web服务器与内部网络分隔开来 （2）维护安全的web站点的拷贝 （3）合理配置主机系统 （4）合理配置web服务器软件 3.谨慎组织web服务器的相关内容 4.安全

12、管理web服务器德州科技职业学院德州科技职业学院佟佳哲佟佳哲6.4web浏览器安全v6.4.1浏览器自动引发的应用、 1.postscrip文件 2.配置/bin/csh作为查看器 3.Javal Applet的安全性 4.JavaScript的安全性 5.ActiveX的安全性 6.安全对策 德州科技职业学院德州科技职业学院佟佳哲佟佳哲6.4web浏览器安全v6.4.2web页面或者下载文件中内嵌的恶意代码 由于某些动态页面以来源不可信的用户输入的数据为参数生成页面，所以web网页中可能会不经意地包含一些恶意的脚本程序等。德州科技职业学院德州科技职业学院佟佳哲佟佳哲6.4web浏览器安全v6

13、.4.3浏览器本身的漏洞 缓冲区溢出漏洞 递归frames漏洞 IE5的ActiveX漏洞 重定向漏洞德州科技职业学院德州科技职业学院佟佳哲佟佳哲6.4web浏览器安全v6.4.4浏览器泄露的敏感信息 web服务器大多对每次接受的访问都作相应的记录，并保存到日志文件中。通常包括来访IP地址或者用户名、请求的URL、请求的状态、传输数据的大小，浏览器在向外传送信息的时候，很可能已经把自己的敏感信息发送出去了。德州科技职业学院德州科技职业学院佟佳哲佟佳哲6.4.5web欺骗v由于Internet上web网页容易复制的特点，使得web欺骗变得很简单。 1.欺骗攻击 2.web欺骗攻击的原理 3.对策

14、德州科技职业学院德州科技职业学院佟佳哲佟佳哲6.5电子商务安全技术v6.5.1电子商务安全需求 要保证电子商务活动的安全可靠，真正实现一个安全的电子商务系统，一般来说，电子商务安全有以下需求： 1.保密性 2.正确性和完整性 3.身份的确定性 4.不可抵赖性德州科技职业学院德州科技职业学院佟佳哲佟佳哲6.5电子商务安全技术v6.5.2认证技术 电子商务交易安全在技术上要解决两大问题：安全传输和身份认证。 1.数字证书 （1）数字证书的概念 （2）数字证书的类型 （3）数字证书的申请 （4）数字证书的用途 2.认证中心 （1）CA整体框架 （2）CA的功能德州科技职业学院德州科技职业学院佟佳哲佟佳哲6.5电子商务安全技术v6.5.3电子商务安全协议 1.安全套接层SSL协议 SSL协议主要提供三方面服务： （1）用户和服务器的合法性认证 （2）加密数据以隐藏被传送的数据 （3）保护数据的完整