web安全性论文DOC

1、关于WEES艮务及其安全性的讨论学院名称专业名称学生姓名学 号指导教师*年*月*第一章WEB的基本简介.11.1 WEB的起源1.2 WEB的特点1.3 WEB的工作原理第二章关于WEB服务器.42.1 WEB服务器的种类.42.1.1 WEB 简介.42.1.2WWW 简介2.1.3WWW的发展与特点.4.52.2 WEB服务器特点与工作原理.52.2.1 服务器的特点2.2.2 服务器的工作原理2.3 WEB服务器的发展趋势第三章 应用中WEB的安全问题3.1 WEB安全定义.93.2常见安全问题.93.3 WEB安全对策.103.3.1 物理安全策略3.3.2 访问控制策略.10.113

2、.3.3 信息加密策略113.3.4 安全管理策略11结束语12参考文献：13第一章WEB的基本简介超文本(hypertext )超文本是一种用户接口范式，用以显示文本及与文本相关的内容。 现时超文 本普遍以电子文档的方式存在，其中的文字包含有可以链接到其他字段或者文档 的超文本链接，允许从当前阅读位置直接切换到超文本链接所指向的文字。超媒体(hypermedia)超媒体是超文本(hypertext )和多媒体在信息浏览环境下的结合。它是超 级媒体的简称。用户不仅能从一个文本跳到另一个文本，而且可以激活一段声音， 显示一个图形，甚至可以播放一段动画。Internet采用超文本和超媒体的信息组织

3、方式，将信息的链接扩展到整个 Internet上。We惊ft是一种超文本信息系统，Web的一个主要的概念就是超文本 链接。它使得文本不再像一本书一样是固定的线性的，而是可以从一个位置跳到另外的位置并从中获取更多的信息，还可以转到别的主题上。想要了解某一个主题的内容只要在这个主题上点一下，就可以跳转到包含这一主题的文档上。正是这种多连接性把它称为Web超文本传输协议(HTTPHyperText Transfer protocol超文本在互联网上的传输协议。1.1 WEB的起源最早的网络构想可以追溯到遥远的1980年蒂姆伯纳斯-李构建的 ENQUIR改目。这是一个类似维基百科的超文本在线编辑数据库

4、。尽管这与 万维网大不相同，但是它们有许多相同的核心思想， 甚至还包括一些伯纳斯 李的万维网之后的下一个项目语义网中的构想。在那年的圣诞假期，伯纳斯-李制作了要一个网络工作所必须的所有工 具：第一个万维网浏览器(同时也是编辑器)和第一个网页服务器。1991年8月6日，他在alt.hypertext新闻组上贴了万维网项目简介的文章。 这一天也标志着因特网上万维网公共服务的首次亮相。万维网和其他超文本系统有很多不同之处：万维网上需要单项连接而不是双向连接，这使得任何人可以在资源拥有 者不作任何行动情况下链接该资源。 和早期的网络系统相比，这一点对于减 少实现网络服务器和网络浏览器的困难至关重要，

5、但它的副作用是产生了坏 链的慢性问题。万维网不像某些应用软件如 HyperCard,它不是私有的，这使得服务器 和客户端能够独立地发展和扩展，而不受许可限制。1.2 WEB的特点图形化Web非常流行的一个很重要的原因就在于它可以在一页上同时显示色彩丰 富的图形和文本的性能。在Web之前Internet上的信息只有文本形式。WetM 以提供将图形、音频、视频信息集合于一体的特性。同时，Webl非常易于导航的，只需要从一个连接跳到另一个连接，就可以在各页各站点之间进行浏览了。与平台无关无论你的系统平台是什么，你都可以通过 Internet访问WWWU览 WWW 你的系统平台没有什么限制。无论从Wi

6、ndows平台、UNIX平台、Macintosh还是 别的什么平台我们都可以访问 WWWt WWW访问是通过一种叫做浏览器(browser)的软件实现的。如 Netscape 的 Navigator、NCSA向 Mosaic、Microsoft 的 Internet Explorer 等。1分布式的大量的图形、音频和视频信息会占用相当大的磁盘空间， 我们甚至无法预知 信息的多少。对于WebS有必要把所有信息都放在一起，信息可以放在不同的站 点上，只需要在浏览器中指明这个站点就可以了。 在物理上并不一定在一个站点 的信息在逻辑上一体化，从用户来看这些信息是一体的。动态的最后，由于各We惊占点的信

7、息包含站点本身的信息，信息的提供者可以经常 对站上的信息进行更新。如某个协议的发展状况，公司的广告等等。一般各信息 站点都尽量保证信息的时间性。所以 We惊占点上的信息是动态的、经常更新的， 这一点是由信息的提供者保证的。交互的Web勺交互性首先表现在它的超链接上， 用户的浏览顺序和所到站点完全由 他自己决定。另外通过FORM勺形式可以从服务器方获得动态的信息。用户通过 填写FORMT以向服务器提交请求，服务器可以根据用户的请求返回相应信息。1.3 WEB的工作原理当你想进入万维网上一个网页,或者其他网络资源的时候，通常你要首 先在你的浏览器上键入你想访问网页的统一资源定位符(Uniform

8、ResourceLocator),或者通过超链接方式链接到那个网页或网络资源。这之后的工作 首先是URL的服务器名部分，被名为域名系统的分布于全球的因特网数据库 解析，并根据解析结果决定进入哪一个 IP “网络协议”地址(IP address)。接下来的步骤是为所要访问的网页，向在那个 IP地址工作的服务器发 送一个HTTP青求。在通常情况下，HTMLC本、图片和构成该网页的一切其 他文件很快会被逐一请求并发送回用户。第二章关于WEEie务器2.1 服务器的概述2.1.1 WEB 简介WebK务器是可以向发出请求的浏览器提供文档的程序。服务器是一种被动程序：只有当Internet上运行在其他计

9、算机中的浏览器 发出请求时，服务器才会响应。最常用的 Web服务器是Apache和Microsoft 的Internet 信息服务器（Internet Information Services , IIS ）。Internet上的服务器也称为Wet®务器，是一台在Internet上具有独立IP 地址的计算机，可以向Internet上的客户机提供 WWWEmail和FTP等各种 Internet 服务。WetK务器是指驻留于因特网上某种类型计算机的程序。当WebM览器（客户端）连到服务器上并请求文件时，服务器将处理该请求并将文件反馈到该浏览 器上，附带的信息会告诉浏览器如何查看该文件（

10、即文件类型）。服务器使用 HTTP（超文本传输协议）与客户机浏览器进行信息交流，这就是人们常把它们称 为HTTP服务器的原因。WetK务器不仅能够存储信息，还能在用户通过Web»U览器提供的信息的基 础上运行脚本和程序。2.1.2 WWW 介WWW World Wide Web （环球信息网）的缩写，也可以简称为 Web,中文 名字为“万维网”。它起源于 1989年3月，由欧洲量子物理实验室 CERN （the European Laboratory for Particle Physics ）所发展出来的主从结构分布式超 媒体系统。通过万维网，人们只要通过使用简单的方法，就可以很迅

11、速方便地取 得丰富的信息资料。由于用户在通过 Web浏览器访问信息资源的过程中，无需 再关心一些技术性的细节，而且界面非常友好，因而 Web在Internet 上一推 出就受到了热烈的欢迎，走红全球，并迅速得到了爆炸性的发展。#2.1.3 WWW的发展与特点长期以来，人们只是通过传统的媒体（如电视、报纸、杂志和广播等）获得 信息。但随着计算机网络的发展，人们想要获取信息，已不再满足于传统媒体那 种单方面传输和获取的方式，而希望有一种主观的选择性。网络上提供各种类别 的数据库系统，如文献期刊、产业信息、气象信息、论文检索等等。由于计算机 网络的发展，信息的获取变得非常及时、迅速和便捷。到了 19

12、93年，WWW：技术有了突破性的进展，它解决了远程信息服务中的 文字显示、数据连接以及图像传递的问题，使得WWWK为Internet 上最为流行的信息传播方式。Web服务器成为Internet 上最大的计算机群，Web文档之 多、链接的网络之广，令人难以想象。可以说， Web为Internet的普及迈出了开创性的一步，是近年来Internet上取得的最激动人心的成就。WWW：用的是浏览器/服务器结构，具作用是整理和储存各种 WWW源，并 响应客户端软件的请求，把客户所需的资源传送到 Windows 95（或Windows98、 Windows NT UNX 或 Linux 等平台上2.2 WE

13、B服务器特点与工作原理2.2.1 服务器特点Windows, Linux与Unix这3个操作系统是架设 Web服务器比较常见的操作 系统。Linux的安全性能在这3个操作系统中最高，可以支持多个硬件平台，其 网络功能比较强大。总的来说，这两大优点是其他操作系统不可替代的：第一， 可以依据用户不同的需求来随意修改、调整与复制各种程序的源码以及发布在互 联网上；第二，Linux操作系统的市场价格比较便宜，也能够在互联网上免费下 载源码。可以说，Linux为架设既高效又安全的 Wet®务器的比较理想的操作系 统。止匕外，要让Web服务器更具有优越的性能，可以根据服务器系统之特点与用 途作进

14、一步的优化与处理，尽量减少Web®务器的数据传输量以及降低其数据传 输的频率，进而促进网络宽带的利用率与使用率， 以及提高网络客户端的网页加 载的速度，同时也可以减少Web服务器各种资源的消耗。2.2.2 服务器工作原理WebK务器的工作原理并不复杂，一般可分成如下 4个步骤：连接过程、 请求过程、应答过程以及关闭连接。下面对这4个步骤作一简单的介绍。连接过 程就是Wet®务器和其浏览器之间所建立起来的一种连接。查看连接过程是否实 现，用户可以找到和打开socket这个虚拟文件，这个文件的建立意味着连接过 程这一步骤已经成功建立。请求过程就是 Web的浏览器运用socket

15、这个文件向 其服务器而提出各种请求。应答过程就是运用HTTPB议把在请求过程中所提出来的请求传输到 Webl勺服务器，进而实施任务处理，然后运用 HTTPB议把任务 处理的结果传输到WebK浏览器，同时在WebK浏览器上面展示上述所请求之界 面。关闭连接就是当上一个步骤-应答过程完成以后，Wet®务器和其浏览器之 间断开连接之过程。WetK务器上述4个步骤环环相扣、紧密相联，逻辑性比较 强，可以支持多个进程、多个线程以及多个进程与多个线程相混合的技术。2.3 WEB服务器的发展趋势WetK务器的发展有三个主要趋势：从 HTM侄I XML标准通用标记语言的子集可扩展标记语言（exten

16、sible Markup Language ）标准通用标记语言的子集HTMLM称为“第一代 Wet®言”，如前面的介绍， HTML乍为Web勺开发语言，对 WetS用的发展起到了关键性的作用。但是 HTML 有一个致命的缺点：只适合于人与计算机的交流，不适合计算机与计算机的交流。 HTML1过大量的标记来定义文档内容的表现方式，它仅仅描述了应如何在Web浏览器页面上布置文字、图形，并没有对 Internet的信息含义本身进行描述， 而信息又是Web应用中最重要白内容。通过 HTM送现出来的文字、图形内容很 容易被人理解，但却不利于计算机程序去理解。另外，HTML勺另一个问题就是它的标

17、记集合是固定的，用户不能根据自己的需要增加标记； 而且各种浏览器的 规格不尽相同，要使我们用 HTML故的网页能够被所有浏览器正常显示，我们只 能够使用W3c（万维网协会）规定的标记来创建网页。正如前面所说，Web®务器向Webffl览器提供的信息都是来自有一定结构的 数据库，在数据库里，为了检索和管理的方便，信息按照它本身的意义（如姓名、 年龄、工作单位等）被存放在相应的字段里，一旦这些数据被调出来，经过CGI、 ASP JSR PH对转换成HTMLW,其原来的意义无法转移到 HTM标记中来，用 户也就无法按照信息本来的意义去阅读。并且，由于操作系统以及数据库的不同， 不同的系统及

18、应用层面之间要想互相理解对方的数据格式是相当困难的。这就需要一种新技术或标准能够将最初保存在数据库服务器中的原始数据结构在不同 的系统层面共享。这种新技术就是 XML使用XMLM以解决上述的难题。 W3c寸XML乍了如下描述：” XML述了一 类被称为XML±档的数据对象，并部分描述了处理它们的计算机程序的行为。XML 是标准通用标记语言的一个应用实例。从结构上说，XML文档遵从标准通用标记 语言文档标准。”同HTML样，XM他是一种基于文本的标记语言，都是从标 准通用标记语言发展而来，二者的不同在于：XMLM以让我们根据要表现的文档， 自由地定义标记来表现具有实际意义的文档内容，例

19、如，我们可以定义文档名称/文档名称这样具有实际意义的标记。而且 XMDMtHTM哪样具有固定 的标记集合，它实际上是一种定义语言的语言，也就是说使用XMLB用户可以定 义无穷的标记来描述文档中的任何数据元素，将文档的内容组织成丰富的完整的信息体系。总起来说，XML具有四大特点：便于存储的数据格式、可扩展性、高 度结构化以及方便的网络传输，这些特点为我们创建开放、高效、可扩展、个性 化的Web应用提供了一个崭新的起点。从有线到无线电子商务正在从台式机向着更为广泛的无线设备发展，Cahners In-Stat市场分析家预测，世界范围内的无线用户的人数将会从2000年的2.71亿增加到2004年的1

20、3亿。Aberdeen集团的研究主任 Darcy Fowkes认为，采用无线方式 进行电子商务的优势并不仅仅在于方便，它还可以节约公司的财力，而且，移动办公能使工作更加高效。然而，由于多种无线网络类型、标记语言、协议和无线设备并存的复杂情况， 使得网络内容和数据转换成能够被无线设备所识别的格式并不容易。许多企业都在致力于开发能够把应用程序以及互联网内容扩展到无线设备上的产品。例如，旧M新版本的 WebSphere Transcoding Publisher 3.5 增加和改进了 许多新的特性，可以将企业内部网上的数据翻译到多种无线设备上。该版本中新的特性包括对更多的无线设备、数据格式的支持，以

21、及语言翻译功能。它基于 Java架构，能把用HTMU口 XMLS记语言编写的应用程序和数据转换成 WML HDML(HandheldDevice Markup Language)和 iMode 等无线设备所能识别的格式， 这样，通过手持设备就可以访问互联网上的信息。无线设备厂商Mobilize也推出了 Mobilize Commerce产品，帮助企业进入 无线网络。该软件可以通过无线连接的方式访问企业的内部系统， 远程地实现订 单发送，并进行确认。Mobilize Commerc皿以充分利用XMLM信息进行格式转换，以适合于无线设备，这些无线设备包括笔记本电脑、个人数字助理、无线电 话、网络电

22、话和双向寻呼等。从无声到有声世界上有十亿个电话终端，有超过2亿的移动电话。而就人自身的交流习惯 来看，人们也更愿意利用听和说的口头的方式进行交流。文本语音转换器（TTSS, Text to Speech ）的研究工作已经取得了很大的进 步，实现了自动的语言分析理解，并允许TTS的使用者增加更多的韵律、音调在 讲话中，使TTS系统的发声更接近人声。在自动语音识别系统（ASR领域里， 自动语音识别系统在从整个词的模仿匹配，向音素层次的识别系统方向发展。自 动语音识别系统的词汇表由一个基于声音片断的字母表构成，而且这种词汇表是受不同语言限制的。基于这种方式，在一个宽广的声音行列里，讲话能被识别系 统

23、发现和挑拣出来，并加以识别。并且，在识别一个词的时候，每一个音素将从 系统的输入中挑拣出来，拼接组合后与已经有的音素和词语模板进行比较，来产 生需要的模板。音素的识别大大减轻了 ASR寸讲话者的依赖性，并且使得它非常 容易去建立大型的和容易修改的语音识别字典，从而满足不同应用市场的需求。WeblHOt展的另一方面是 VoiceXML（Voice Extensible Markup Language- 语音可扩展标记语言）的进展。VoiceXML的主要目标是要将Webk已有的大量 应用、丰富的内容，让交互式语音界面也能够全部享受。Web®务器处理一个来自客户端应用的请求，这一请求经过了

24、 VoiceXML解释程序和VoiceXML解释程序 语境处理，作为响应，服务器产生出VoiceXML文件，在回复当中，要经过VoiceXML 解释程序的处理。VoiceXML1.0规范基于XML为语音和电话应用的开发者、服 务提供商和设备制造商提供了一个智能化的 API。VoiceXML的标准化将简化Web 上具有语音响应服务的个性化界面的创建， 使人们能够通过语音和电话访问网站 上的信息和服务，像今天通过 CGI脚本一样检索中心数据库，访问企业内部网， 制造新的语音访问设备。VoiceXML的执行平台上面加载了相应的软件和硬件， 例如，ASR TTS,从而实现语音的识别以及文本和语音之间的

25、转化。2000年5月23日，W3C8受了语音可扩展标记语言 VoiceXML 1.0作为实例。旧M、Nokia、Lucent、Motorola等著名厂商都已经开发出相应支持 VoiceXML 的产品，ASRffi TTS系统大多还不能支持中文。第三章 应用中WEB勺安全问题3.1 WEB安全的定义随着Web2O社交网络、微博等等一系列新型的互联网产品的诞生，基于 We必境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上，Web业务的迅速发展也引起黑客们的强烈关注，接踵而至的就是We3全威胁的凸显，黑客利用网站操作系统的漏洞和 Wet®务程序的SQL注入漏洞等 得

26、到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为 严重的则是在网页中植入恶意代码， 使得网站访问者受到侵害。 这也使得越来越 多的用户关注应用层的安全问题，对 Wetg用安全的关注度也逐渐升温。3.2 常见安全问题“开放Web应用程序安全项目" (OWASP通过调查，列出了对 Web应用的 危害较大的安全问题，主要包括：未验证参数，访问控制缺陷，账户及会话管理 缺陷，跨站脚本漏洞，缓冲区溢出，命令注入漏洞，错误处理问题，远程管理漏洞，Web服务器及应用服务器配置不当。未验证参数Web请求中包含的信息没有经过有效性验证就提交给Web应用程序使用,攻击者可以以恶意构

27、造请求中包含某个字段，如URL请求字符串，Cookie头部、表单项，隐含参数传递代码攻击运行Web 程序的组件。访问控制缺陷 用户身份认证策略没有被执行， 导致非法用户可以操作信息。 攻击者可以利用这 类漏洞得到其他用户帐号、浏览敏感文件、删除更改内容、执行未授权访问，甚 至取得网站管理员的权限。 账户及会话管理缺陷 账户和会话标记未被有效保护， 攻击者可以得到口令密码、 会话 Cookie 和其他 标记，并突破用户权限限制活利用假身份得到其他用户信任。 跨站脚本漏洞 在远程Web页面的HTML代码中插入具有恶意目的的代码片段，用户认为该页 面是可依赖的，但是当浏览器下载该页面时，嵌入其中的脚

28、本将被解释执行。 缓冲区溢出Web应用组件没有正确检验输入数据的有效性，导致数据溢出，攻击者可以利用9这一点执行一段精心构造的代码， 从而获得程序的控制权。 可能被利用的组件包括CGI、库文件、驱动文件和 Web服务器。命令注入漏洞Web应用程序在与外部系统或本地操作系统交互时，需要传递参数。如果攻击者 在传递参数中嵌入了恶意代码，外部系统可能会执行这些指令。比如SQL注入攻 击，就是攻击者将SQL#令插入到Web表单的输入域或页面请求的查询字符用， 欺骗服务器执行恶意的SQL命令。错误处理问题在正常操作没有被有效处理的情况下， 会产生错误提示或内存不足、 系统调用失败、网络超时、服务器不可用

29、等。如果攻击者认为构造Web 应用不能处理的情况， 就可能从反馈信息中获得系统的相关信息。 例如， 当发出请求包试图判断一个文件是否在远程主机上存在的时候，如果返回信息为“文件未找到” ，则无此文件，如果返回信息为“访问被拒绝” ，则为文件存在但无访问权限。远程管理漏洞许多 Web 应用允许管理者通过Web 接口来对站点实施远程管理。 如果这些管理机制没有对访问者实施合理的身份认证， 攻击者就可能通过接口拥有站点的全部权限。Web 服务器及应用服务器配置不当对 Web 应用来说，健壮的服务器是至关重要的。服务器的配置比较复杂，比如Apache 服务器的配置文件完全由命令和注释组成，一个命令包括

30、若干参数。如果配置不当对安全性影响很大。3.3 WEB安全对策3.3.1 物理安全策略物理安全策略的目的是保护计算机系统、 网络服务器、 打印机等硬件实体和通信链路免受自然灾害、 人为破坏和搭线攻击； 验证用户的身份和使用权限、 防止用户越权操作； 确保计算机系统有一个良好的电磁兼容工作环境； 建立完备的安全管理制度， 防止非法进入计算机控制室和各种偷窃、 破坏活动的发生。 抑制和防止电磁泄漏是物理安全策略的一个主要问题。 目前主要防护措施有两类： 一类是对传导发射的防护， 主要采取对电源线和信号线加装性能良好的滤波器， 减小传输阻抗和导线间的交叉耦合。 另一类是对辐射的防护， 这类防护措施又可分为以下两种： 一是采用各种电磁屏蔽措施， 如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、 暖气管和金属门窗进行屏蔽和隔离； 二是干扰的防护措施，即在计算机系统工作的同时， 利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。3.3.2 访问控制策略访问控制是网络安全防范和保护的主要策略， 它的主要任务是保证网络资源不被非法使用和非法访问。 它也是维护网络系统安全、 保护网络资源的重要手段。 各种安全策略必须相互配合才能真正起到保护作用， 但访问控制可以说是保证网络安