《Web的安全性》PPT课件.ppt

网 络 安 全 第八章 Web的安全性 CH8 Web的安全性 2 第八章 Web的安全性 本章内容 8.2 Web服务器的安全性 8.3 脚本语言的安全性、SQL注入 8.4 旁注WEB综合检测程序 8.5 WEB浏览器的安全 8.1 Web安全性概述 3 第八章 Web的安全性 网站被黑案例 恶意攻击者针对Paypal发起了攻击，他们将Paypal用户重新引导到 另一个恶意网站并警告用户，他们的账户已经失窃。用户们被引导到 另一个钓鱼式网站上，然后输入自己的Paypal登录信息、社会保险号 和信用卡资料。 俄罗斯黑客在2006年1月份利用SQL注入攻击攻破了美国罗得岛政府 网站，窃取了大量信用卡资料。 澳大利亚的一个税务网站在2000年被一位用户攻破。那位用户只是 在网站地址中更改了税务ID账号就获得了1.7万家企业的详细资料。黑 客以电子邮件的方式通知了那1.7万家企业，告知它们的数据已经被破 解了。 4 第八章 Web的安全性 思考 一服务器上运行着三种服务。一个是传统等WEB服务;二是FTP服务;三 是OA(办公自动化)服务，因为该服务是WEB模式的，互联网上也 可以直接访问OA服务器，所以也部署在这台服务器上。 由于这台服务器的配置还是比较高的，所以，运行这三个服务来说， 没有多少的困难，性能不会有所影响。 现在的问题是，如何来保障它们的安全，FTP服务器、OA服务器与 Web服务器之间安全上不会相互影响呢? 5 第八章 Web的安全性 影响Web安全性的因素主要有以下几个方面。 （1） 由于Web服务器存在的安全漏洞和复杂性，使得依赖这些服务 器的系统经常面临一些无法预测的风险。 （2） Web程序员由于工作的失误或程序设计上的漏洞，也可能造成 Web系统的安全缺陷。 （3） 用户通过浏览器和Web站点交互时，由于浏览器本身的安全漏 洞，使得非法用户可以通过浏览器攻击Web站点。 8.1 Web安全性概述 6 第八章 Web的安全性 8.1.1 8.1.1 InternetInternet安全隐患安全隐患 Internet是一个开放的、无控制机构的网络 TCP/IP通信协议存在不安全因素 网络操作系统中存在的安全脆弱性问题 电子邮件存在着被拆看、误投和伪造的可能性 病毒的传播 7 第八章 Web的安全性 8.1.2 8.1.2 WebWeb安全安全问题问题 未经授权的存取 窃取系统信息 破坏系统 非法使用 病毒破坏 8 第八章 Web的安全性 相对于传统的C/S应用模式，增加了Web服务器作为软件开 发和应用平台的优点有： （1） 统一的客户界面 （2） 平台独立性 （3） 高可靠性、高可扩展性 （4） 并行性和分布性 （5） 易用性和通用性 8.2 Web服务器的安全性 8.2.1 Web8.2.1 Web服服务务器器3 3层层模式模式 9 第八章 Web的安全性 8.2.2 8.2.2 WebWeb服服务务务务器存在的漏洞器存在的漏洞 物理路径泄露 目录遍历 例： /scripts/%5c/Windows/System3 2/cmd.exe?/c+dir+c: 缓冲区溢出 拒绝服务 条件竞争 10 第八章 Web的安全性 8.2.3 8.2.3 WebWeb服服务务务务器的安全器的安全设设设设置置 1.构造一个安全系统 （1） 使用NTFS文件系统 （2） 关闭默认共享 （3） 修改共享权限 （4） 为系统管理员账号更名 （5） 禁用TCP/IP 上的NetBIOS （6） TCP/IP上对进站连接进行控制 （7） 修改注册表，减小拒绝服务攻击的风险 11 第八章 Web的安全性 2.保证IIS自身的安全性 （1）IIS安全安装 不要将IIS安装在系统分区上。 修改IIS的安装默认路径。 打上Windows和IIS的最新补丁。 （2）用户控制的安全性 1）匿名用户 安装IIS后将会生成IUSR_Computername匿名用户，其匿 名访问给 Web服务器带来了很大的安全隐患，必须对它的 访问权 限进行限制，取消Web的匿名服务。（Demo） 12 第八章 Web的安全性 2） 一般用户 对于一般用户，可以通过使用大小写字母和数字 相结合的口令，提高密码的安全性，限制失败的登录 尝试以及修改账号的生存期等对其进行管理，提高用 户的安全性。 13 第八章 Web的安全性 （3）IIS的安全配置 删除不必要的虚拟目录 删除危险的IIS组件 为IIS中的文件分类设置权限 删除不必要的应用程序映射 保护日志安全 14 第八章 Web的安全性 CGI(Common Gateway Interface)即公共网关接口。 CGI 规范允许Web服务器执行外部程序，并将它们的输出发送给 Web浏览器。 CGI程序可能以下面两种方式产生安全漏洞。 （1）CGI程序可能有意或无意地泄露主机的一些信息。 （2）CGI程序在处理远程用户输入时，例如，一个表单 的内容或者一个可搜索的索引命令，容易受到远程用户的攻 击，用户可以骗取在系统上执行命令的权限。 8.3 脚本语言的安全性、SQL注入 8.3.1 CGI8.3.1 CGI程序的安全性程序的安全性 15 第八章 Web的安全性 处理步骤: 通过Internet把用户请求送到服务器。 服务器接收用户请求并交给CGI程序处理。 CGI程序把处理结果传送给服务器。 服务器把结果送回到用户。 16 第八章 Web的安全性 8.3.2 8.3.2 SQLSQL注入注入 网站程序员在编写代码的时候，没有对用户输入数据的 合法性进行判断，使应用程序存在安全隐患。用户可以提交 一段数据库查询代码，根据程序返回的结果，获得某些他想 得知的数据，这就是所谓的SQL注入（SQL Injection）。 17 第八章 Web的安全性 现在不少网站被黑并不是因为自身的Web程序存在漏洞， 而是黑客通过入侵了与其在同一个虚拟主机的网站，而后黑 掉这些网站的，这种攻击手法叫做旁注法。 在架设好服务器之后，可以使用“旁注WEB综合检测程序 ”检测WEB应用程序方面的漏洞。 8.4 旁注WEB综合检测程序 18 第八章 Web的安全性 8.5 Web浏览器的安全性 .1浏览浏览 器本身的漏洞器本身的漏洞 IE的自动登录 不使用“保存密码”选项 IE的颜色足迹软件应用 IE的自动完成 IE的安全区域设置 19 第八章 Web的安全性 8.5.2 8.5.2 ActiveXActiveX的安全漏洞的安全漏洞 1. ActiveX的安全性漏洞 由于ActiveX控制不含有任何类似的严格安全性检查或 资源权限检查，使得用户在使用IE浏览器浏览一些带有恶 意的ActiveX控件时，这些控件可以在用户毫不知情的情况下 执行Windows系统中的任何程序，将用户计算机上的机密信 息发送给Internet上的某台服务器，向局域网中传播病毒， 甚至修改用户IE的安全设置等，这些都会给用户带来很大的 安全风险。 20 第八章 Web的安全性 Scr.Reset()； Scr.Path=“C:WindowsStartMenuProgramstest.hta“； Scr.Doc=“ Wash.Run(startdeltreec:test.txtY); alert(IMPORTANT：Windows is removing unused temporary files。)； “； Setwrite()； 21 第八章 Web的安全性 2、IE浏览器中ActiveX的设置 工具-Internet选项-安全-自定义级别-安 全设置- 22 第八章 Web的安全性 可以通过下面3种方法删除或重新设置Cookie的使用 。 (1)在Windows下拒绝Cookie的使用，可以删除Cookie 文件夹中文件的内容，或者把文件的属性设置成只读或隐 含。 (2)在IE中设置