Web的b安全b.ppt

1、第7章网络安全，7.1网络安全概述7 . 1 . 1网络漏洞(1)互联网的无国界性质为黑客实施跨国攻击提供了有利条件。它们可以攻击和摧毁世界上任何地方的主机，而不用离开家。(2)互联网上“自由、民主、平等”的虚拟概念很容易被人们接受，不同的社会意识形态也很容易相互渗透。这些因素为互联网的应用埋下了安全隐患。(3)没有有效的方法来确定互联网上用户的真实身份。通过IP地址识别和管理网络用户的机制不可靠，存在严重的安全漏洞，容易被欺骗。(4)互联网是一个分布式网络，没有集中的监控和管理机制，没有完善的法律法规，无法有效应对网络犯罪。(5)互联网本身没有审计和记录功能，也没有发生什么的记录，这也是一个

2、安全隐患。互联网在技术上是开放的，设计的前提是可信和友好，是为绅士设计的，而不是为恶棍设计的。7 . 1 . 2网络安全问题，1影响网络安全的因素(1)由于网络服务器的安全漏洞和复杂性，依赖这些服务器的系统经常面临一些不可预测的风险。网站的安全问题可能涉及与其相连的内部局域网，如果局域网与广域网相连，还可能影响广域网上的其他组织。此外，网站经常成为黑客攻击其他网站的跳板。随着互联网的发展，缺乏有效安全机制的网络服务器正面临成千上万种计算机病毒的威胁。网络使得服务器的安全性更加重要。(2)网络程序员工作中的错误或程序设计中的漏洞也可能导致网络系统的安全缺陷，这些缺陷可能被心怀不满的员工、网络间谍

3、或入侵者所利用。因此，在网页脚本程序的设计中，提高网络编程质量也是提高网页安全性的一个重要方面。(3)用户通过浏览器与网站交互。由于浏览器的安全漏洞，非法用户可以通过浏览器攻击网站，这也是需要警惕的一个重要方面。2Web (1)未授权访问操作中的安全问题。由于操作系统存在漏洞，未经授权的用户可以在网络服务器上获取机密文件和数据，甚至修改和删除数据，这是一个严重的网站安全问题。(2)窃取系统信息。用户入侵系统，获取系统的一些重要信息，并利用这些信息进一步攻击系统。(3)摧毁系统。指非法使用网络系统、操作系统和应用程序，使其能够修改或破坏系统。(4)病毒损害。目前，网站受到各种病毒的威胁，这使得不

4、稳定的网络更加动荡。1拒绝服务，2执行任意命令，3物理路径泄漏，4缓冲区溢出，5条件竞争，6目录遍历，7.2网络服务器的安全性，7 . 2 . 1网络服务器的网络漏洞，7 . 2 . 2网络服务器的网络安全配置1Windows2000服务器(1)目录规划和安装安装前，应规划网络目录，系统文件和应用程序文件应放置在不同的分区，默认情况下不应安装；不要在安装过程中显示的默认路径上安装系统文件。因为IIS有许多漏洞，容易被黑客攻击，所以不要在(主)域控制器上安装IIS。(2)用户控制对于普通用户来说，可以通过相应的“安全策略”来加强他们的安全性，约束他们的属性和行为。值得注意的是，安装IIS后会自动

5、生成一个匿名账户IUSE_Computername，应该禁止匿名访问Web服务器，否则会带来一定的安全隐患。禁止的方法：启动互联网服务管理器，在网站属性页的目录安全选项卡中单击匿名访问和身份验证，然后单击编辑按钮打开身份验证方法对话框，如图所示。在此对话框中，删除“匿名访问”前的复选标记。登录验证IIS服务器提供三种登录模式：匿名访问、基本验证和集成Windows验证。其中禁止匿名访问。在实际应用中，用户可以根据不同的安全需求选择不同的IIS登录认证方法。(4)访问控制1)网络文件系统服务的访问控制应该基于网络文件系统格式。一方面，它可以轻松控制自己的访问权限，并向不同的用户和组授予不同的访问

6、权限；另一方面，可以有效地利用NTFS文件系统的审计功能，如图所示。2)网络目录的访问权限控制网络目录的文件夹。您可以通过操作网站的属性页来控制网站目录的访问权限，并且目录中的所有文件和文件夹都将继承这些安全设置。在互联网服务管理器中，打开网站的属性对话框，如图所示。除了NTFS权限，网络服务还提供读取权限和执行权限。读取权限允许用户读取或下载网络目录中的文件，执行权限允许用户运行网络目录中的程序和脚本。网络地址控制可以设置允许或拒绝从特定网络地址发送的服务请求，并有选择地允许特定节点的用户访问网络服务。在网站属性页的“目录安全性”页签上，点击“IP地址和域名限制”中的“编辑(I)”按钮，打开

7、如图所示的“IP地址和域名限制”对话框，然后设置限制条件。(6)端口控制就IIS服务而言，无论是Web服务、FTP服务还是SMTP服务，它们都有自己的TCP端口号，用于侦听和接收来自用户浏览器的请求。在实际应用中，可以通过修改默认端口号来提高IIS服务器的安全性。例如，修改网站的TCP端口号的方法如下：如图7-5所示，打开默认网站的属性对话框，直接将“TCP端口(t)”选项后面输入框中的内容“80”改为其他值。(7)安全通信机制除了匿名用户、基本身份验证和集成的Windows身份验证外，IIS身份验证方法还有一种安全性更高的身份验证方法数字证书。单击“目录安全性”对话框中的“服务器证书”按钮，

8、您可以按照向导提示轻松申请数字证书。1)Apache服务器的安全特性(1)采用自主访问控制和强制访问控制的安全策略(2) Apache安全模块(2)Apache服务器的安全配置(1)设置服务器的访问控制策略(2)规范用户和组(3)Apache服务器的密码保护(4)让Apache服务器在监狱中运行(5)使用SSL加强Apache 6)Apache服务器以防止DOs(7)降低CGI和SSI风险(8) 建立安全目录结构9)设置目录访问策略10)记录所有情况7.3网络客户端的安全性，7.3.1浏览器本身的漏洞：1。 传播病毒漏洞；2.特洛伊木马漏洞；3.操作系统漏洞；4.“跳板”的脆弱性；5.欺骗漏洞

9、；6.用户信息泄露漏洞；1.什么是ActiveX是微软为一系列战略性的面向对象编程技术和工具取的名字，其中主要的技术是组件对象模型。COM成为网络中的分布式COM(DCOM)，具有目录和其他支持。ActiveX与特定的编程语言无关。作为一种互联网应用开发技术，ActiveX广泛应用于网络服务器和客户端的各个方面。同时，ActiveX技术也被用来方便地创建常见的桌面应用程序。7.3.2ActiveX安全，2ActiveX控件安全问题IE浏览器通常采用两种策略：安全级别和身份验证来保证ActiveX插件的安全性。(1)ActiveX控件通过数字签名进行身份验证，浏览器可以拒绝未正确签名的Activ

10、eX控件。微软使用认证码认证技术对ActiveX控件进行签名，允许用户验证ActiveX控件作者的身份，并验证是否有人篡改了控件。(2)工业工程的安全等级可分为“默认等级”和“自定义等级”。工业工程的“自定义级别”为用户提供了选择符合实际需要的安全策略的机会。“默认级别”分为四个级别：高、中、中和低。它们的属性特征如表7-1所示。ActiveX控件的实际默认级别是“中等”，即在软件安装之前，用户可以根据他们对软件发行商和软件本身的信任来选择是否继续安装和运行软件。3工业工程浏览器中Activex控件的设置(1)启动工业工程浏览器，单击菜单工具互联网选项，并选择“安全”选项卡，如图所示。(2)请

11、在选择区域选择“互联网”图标；然后点击下面的“自定义级别”按钮，如图所示。什么是cookie Cookie是由网景公司开发的，作为保存状态信息和其他信息的一种方式。Cookie是一个简单的文本文件，由网络服务器发送，当用户通过浏览器访问网络服务器时保存在网络客户端，由大约255个字符组成，占用4KB空间。当用户浏览网站时，它存储在客户端的内存中；退出浏览器后，它存储在客户端的硬盘上。此文件与特定的网络文档相关联，并在客户端访问此网络文档时存储信息。通过这些特定的信息，浏览器为将来访问网络服务器和进一步的交互提供了便利。7 . 3 . 3 cookie的安全性，2 cookie的功能(1)自定义

12、个性化空间当用户访问网站时，由于成本和带宽限制等原因，他可能不想浏览网页的所有内容。Cookie可以根据个人喜好设置栏目，即时动态生成用户想要的内容，迎合不同层次用户的访问兴趣，减少用户的项目选择数量，更合理地利用网络服务器的传输带宽。(2)记录现场的轨迹。由于Cookie可以保存在客户端，并在用户再次访问Web服务器时进行读取，因此该功能可以帮助我们实现许多设计功能，例如显示用户访问网页的次数、上次访问时间，以及记录用户以前在该页面上所做的选择。3 cookie的安全性，4 cookie的安全性设置(1)1)IE5.0的设置方法(2)IE6.0的设置方法(1)单击浏览器的“工具”菜单并选择“

13、互联网选项”进入。2)单击隐私选项卡。3)拖动设置滑块，将隐私设置调整为“中”级别，设置后点击“高级”，并选中“覆盖自动Cookie处理”和“始终允许会话Cookie”复选框。7.4脚本语言的安全性，7 . 4 . 1 GI CGI 1的安全性什么是CGI物理上，CGI(公共网关交换)是一个运行在服务器上的程序，它提供了一个与客户端的Html页面的接口。CGI是一个通用的网关接口，所以称它为一种机制更合适。因此，用户可以使用上述不同的脚本语言来编写合适的CGI程序。在网络服务器的计算机上运行编写的程序，然后通过网络服务器将运行结果传输到客户端的浏览器。计算机生成接口的安全问题在计算机领域，特别

14、是在互联网上，虽然大多数由网络服务器编写的程序都尽力保护自己的内容不被侵犯，但只要存在一些安全错误、密码文件、私人数据和计算机生成接口脚本中的任何东西，入侵者就可以访问计算机。遵循一些简单的规则，保持警惕，可以保护自己的CGI脚本不受侵犯，从而保护自己的权益。这里提到的CGI安全主要包括两个方面，一是Web服务器的安全，二是CGI语言的安全。一般来说，计算机生成接口问题主要分为以下几类：(1)暴露敏感或不敏感的信息。(2)一些默认提供的正常服务没有关闭。(3)使用一些服务漏洞来执行命令。(4)应用程序中存在远程溢出。(5)非通用计算机生成接口程序的编程漏洞。，3GI漏洞(1)配置错误(2)边界

15、条件错误(3)访问验证错误(4)源验证错误(5)输入验证错误(6)意外情况处理失败(7)策略错误(8)习惯问题，7.4.2ASP.NET安全，1ASP.NET常见漏洞(1)由不良配置控制导致的信息泄漏(2)ASP.NET虚拟主机安全漏洞(3)SQL语句漏洞(4)ASP.NET请求确认空字节漏洞(5)跨站点脚本漏洞(CSS)，2SP。NET安全工作原理，(1)ASP.NET安全结构，(2)ASP.NET安全数据流，(1)仿真方案依靠IIS认证和微软Windows文件访问安全，在安全性方面最大限度地减少ASP.NET应用程序本身的编程量。数据流程如图7-13所示。验证在表单身份验证方案中，应用程序

16、直接从用户那里收集凭据，如姓名和密码，并自行判断信息的真实性。应用程序不使用IIS身份验证，但是IIS身份验证设置会影响表单身份验证。原则上，当使用表单身份验证时，请在IIS中启用匿名访问。否则，如果用户未通过IIS身份验证，他们甚至无法访问应用程序来提供用于表单身份验证的用户名和密码。(3)ASP.NET身份验证，1)窗口身份验证提供程序在ASP.NET应用程序中，窗口身份验证将IIS提供的用户标识视为经过身份验证的用户。IIS提供了大量用于验证用户身份的身份验证机制，包括匿名身份验证、Windows集成(NTLM)身份验证、Windows集成(Kerberos)身份验证、基本(Base64编码)身份验证、摘要身份验证和基于客户端证书的身份验证。在ASP.NET，窗口身份验证模块用于实现窗口身份验证。该模块根据IIS提供的凭据构造一个窗口实体，并将该身份设置为应用程序的当前用户属性值。Windows身份验证是ASP.NET应用程序的默认身份验证机制，并将身份验证模式指定为使用身份验证配置元素的应用程序。2)表单身份验证提供程序通过表单身份验证，并可以使用创建的登录表单来验证用户的用