第7章WWW安全性.ppt

第七章WWW安全性 第七章WWW安全性 7 1HTTP协议及WWW服务7 2WWW服务器的安全性7 3Web欺骗7 4WWW客户安全性7 5增强WWW的安全性 7 1HTTP协议及WWW服务 7 1 1HTTP协议及其安全性7 1 2Web的访问控制7 1 3安全超文本传输协议S HTTP7 1 5安全套接层SSL7 1 6缓存的安全性 7 1 1HTTP协议及其安全性 HTTP协议通用的 无状态的协议 分布式Web应用的核心技术协议 在TCP IP协议栈中属于应用层 定义了Web浏览器向Web服务器发送Web页面请求的格式 以及Web页面在Internet上的传输方式 通信发生在TCP IP连接上 默认端口为80 HTTP的两个安全漏洞 HTTP协议允许远程用户对服务器的通信请求 并允许用户在远程执行命令 危及Web服务器和客户的安全A随意的远程请求验证B随意的WEB服务器验证C滥用服务器资源服务器日志 Web服务器会记录用户访问信息 但是对其检索未加限制 泄露用户信息 7 1 2Web的访问控制 对于不正确IP地址 Web服务器就伪造一个域名继续工作 一旦Web服务器获得IP地址及相应客户的域名 便开始进行验证 来决定客户是否有权访问请求的文档 这其中隐含着安全漏洞 服务器伪造域名 可能把信息发给其他用户电子客户对服务器存在威胁 增强服务器安全性的措施 仔细配置服务器 有效利用访问控制以非特权用户运行WEB服务器在WINDOWS2000上 检查共享的权限 最好设置为只读 进行服务器镜像 敏感文件放在主系统上 辅系统不放敏感文件 并向INTERNET开放 作好最坏打算 检查APPLET 脚本程序 CGI程序有无漏洞在WINDOWS2000上运行WEB服务器比在UNIX上安全 镜像 冗余的一种类型一个磁盘上的数据在另一个磁盘上存在一个完全相同的副本即为镜像 镜像技术 集群技术的一种 是将建立在同一个局域网之上的两台服务器通过软件或其他特殊的网络设备 将两台服务器的硬盘做镜像 其中 一台服务器被指定为主服务器 另一台为从服务器 客户只能对主服务器上的镜像的卷进行读写 从服务器上相应的卷被锁定以防对数据的存取 当主服务器因故障停机时 从服务器将在很短的时间内接管主服务器的应用 7 1 3安全超文本传输协议S HTTP S HTTP保护Internet上所传输的敏感信息的安全协议 随着Internet和Web对身份验证的需求的日益增长 用户在彼此收发加密文件之前需要身份验证 S HTTP的目标是保证商业交易的传输安全 因而推动了电子商务的发展 S HTTP使Web客户和服务器均处于安全保护之下 其文件交换是加密 签名 的 对多种单向散列 Hash 函数的支持 如 MD2 MD5及SHA 对多种对称加密体制的支持 如 DES RC2 RC4 CDMF 对数字签名体制的支持 如 RSA DSS S HTTP协议 7 1 5安全套接层SSL Netscape公司开发的Internet数据安全协议 位于TCP IP协议与各种应用层协议之间 提高应用层协议 如HTTP Telnet NNTP FTP等 的安全性 广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输 SSL协议分为两层 SSL握手协议和SSL记录协议 SSL协议与TCP IP协议间的关系如图 7 1 5安全套接层SSL SSL记录协议 SSLRecordProtocol 它建立在可靠的传输协议 如TCP 之上 为高层协议提供数据封装 压缩 加密等基本功能的支持SSL握手协议 SSLHandshakeProtocol 它建立在SSL记录协议之上 用于在实际的数据传输开始前 通讯双方进行身份认证 协商加密算法 交换加密密钥等 7 1 5安全套接层SSL SSL协议的功能包括 数据加密 服务器验证 信息完整性以及可选的客户TCP IP连接验证 SSL的主要目的是增强通信应用程序之间的保密性和可靠性 7 1 5安全套接层SSL SSL由NETSCAPE开发 S HTTP由NCSA开发 SSL是一个通过套接层对客户和服务器之间的通信事务进行安全处理的协议 适用于所有TCP IP应用 S HTTP是HTTP的超集 只限于Web的使用 SSL支持数据加密 来源验证和数据的完整性 以保护在不安全的公共网络上交换的数据 7 1 5SSL与S HTTP 7 1 6缓存的安全性 缓存通过在本地磁盘中存储高频请求文件 从而提高Web服务的性能 安全缺陷如果远程服务器上的文件更新了 用户从缓存中检索到的文件就有可能过时由于这些文件可由远程用户取得 因而可能暴露一些公众或外部用户不能读取的信息 解决方法Web服务器将远程服务器上文件的日期与本地缓存的文件日期进行比较 7 2WWW服务器的安全性 7 2 1WWW服务器的安全漏洞7 2 2通用网关接口 CGI 的安全性7 2 3Plug in的安全性7 2 4Java与JavaScript的安全性7 2 5Cookies的安全性7 2 6ActiveX的安全性 7 2 1WWW服务器的安全漏洞 NCSA 美国国家超级计算应用中心 服务器的安全漏洞 缓冲区溢出 长URL ApacheWWW服务器的安全漏洞 使用mod cookies模块时 存在系统堆栈溢出 长cookie 潜在允许执行任意命令 自动目录列表 看到首页 和目录列表 Netscape的WWW服务器的安全漏洞 40位密钥加密机制不安全 被破解 随机数发生器生成的随机数 密钥 的分布不是很随机 7 2 2通用网关接口的安全性 CGI提供了扩展Web页面功能的最灵活的方法 客户方CGI的编程用HTML语言 让窗口捕获用户的输入 并把它传到服务器方的应用程序 服务器方的CGI把这些信息传递给数据库DB 由它返回给客户系统更新的Web页面和其他信息 CGI编程时使用绝对路径 CGI脚本可以在任何地方以表格或URL激活 因此要对输入参数进行检查 不要依赖于隐藏变量的值 因为可以通过查看源代码看到 控制CGI程序的权限 7 2 3Plug in的安全性 把任何一个命令行shell 解释器 宏处理器或脚本语言处理器作为一种文档类型的阅读器 都会受到Web上的攻击 不要为包含可执行语句的文件声明任何外部阅读器 Java和安全Tcl这些脚本语言会检测到这个安全问题 它们可以防止那些危险的功能 7 2 4Java与JavaScript的安全性 Java是由Sun公司设计的一种编程语言 用Java编写的代码编译成一种紧凑的格式并存在连接的服务器端 JavaScript是由Netscape的LiveScript发展而来的脚本语言 它提高与Java的兼容性 JavaScript采用HTML页作为其接口 增强了HTML语言的动态交互能力 并且可以下载客户机执行 减轻服务器的负载 Javaapplet的安全性的问题在客户机运行 只允许读或写指定目录 JavaScript的安全性问题将用户的文件上传到因特网上的主机 监视用户某段时间访问的网页触发NETSCAPENAVIGATOR发送邮件 从而获取用户的邮件地址 7 2 5Cookies的安全性 Cookie是HTTP协议下的一种方法 通过该方法 服务器或脚本能够在客户工作站上维护状态或状态信息 Cookie是一段很小的信息 通常只有一个短短的章节标记那么大 在浏览器第一次连接时 由HTTP服务器送到浏览器 以后 浏览器每次连接都把这个Cookie的一个拷贝返回给服务器 Cookie不能用来窃取关于用户或用户计算机系统的信息 但是用户浏览器在Web节点上的每次访问都留下 计算机名 IP地址 之前所访问的URL等信息 在Internet上产生轻微的痕迹 Cookie可以帮助攻击者快速找到目标主机的相关信息 7 2 6ActiveX的安全性 ActiveX是Microsoft公司开发的用来在Internet上分发软件的产品 ActiveX是一套与语言无关的内部操作技术 它使得采用不同语言编写的软件组件能够在网络环境中一起工作 ActiveX的核心技术元件是COM和DCOM ActiveX的授权过程保证ActiveX不能被匿名分发 并且控件在公布以后不会被第三者修改 ActiveX可以从MicrosoftInternetExplorer的选项菜单里完全关闭 只要找到活跃内容一项并选择最安全选项即可实现关闭 7 3Web欺骗 7 3 1Web攻击的行为和特点7 3 2攻击的原理和过程 7 3 1Web攻击的行为和特点 Web欺骗 是指攻击者建立一个使人相信的 Web页站点的拷贝 这个假的Web站点拷贝就像真的一样 具有所有的页面和连接 然而 攻击者控制了这个假的Web站点 被攻击对象和真的Web站点之间的所有信息流动都被攻击者所控制 教育部04年9月曝光第一批学历查询假网站 真网站的网址为1假冒的中国高等教育学生信息网2中国高等教育学生档案网3中国高等教育信息中心4假冒的中国高等教育学生信息网5中华证件网6中国大学生学历查询网7中国大学生网8国家学历查询网 第二批学历查询假网站 真网站的网址 假冒的中国高等教育学生信息网http hesi 假冒的中国高等教育学生信息网中国大学生学历信息网中国大学生学历认证网中国大学生网 7 3 2攻击的原理和过程 1 建立假的Web站点 建立一个使人相信的 Web页站点的拷贝 这个假的Web站点拷贝就像真的一样 具有所有的页面和连接 2 改写URL 将攻击服务器放在真正URL前面 如 改写URLA用户请求来自攻击服务器 假WEB站点 的页面B攻击服务器请求真正服务器 真WEB站点 的页面C真正服务器向攻击服务器提供请求页面D攻击服务器改写真正服务器的页面的URL 如 改写URL后 攻击者的Web服务器能够插在受骗用户的浏览者和真正的Web站点之间 3 开始攻击诱惑被攻击者连接到攻击者的假Web页面上把一个指向假Web页面的连接放到流行的Web页面上邮寄一个指向假Web页面的指针诱惑Web搜索引擎指向一个假的Web页面邮寄给用户一页假的Web内容 被骗客户浏览假冒的WEB站点的连接 攻击服务器从真正的服务器处获取到真正的文档后 即改写其所有的URL攻击者将改写后的文档提供给浏览者浏览者即陷入了攻击者的假Web中用户此时所填写的表格内容具有不安全性安全连接只能检测连接的安全性 无法检测出用户与之相连的站点本身是否是安全的 制造假象在浏览器上 用户可以获取一些信息 状态行鼠标移到Web链上时 状态行中显示该链所指向的URL在传输一个Web页时 状态行会显示当前正在连接的服务器名黑客可以使用JavaScript程序改写状态行 地址行浏览器的地址行显示当前页面的URL 黑客可用JavaScript程序隐藏 改写状态行查看文档源浏览器的查看源文件选项 使用户可以查看当前显示页面的HTML源代码 黑客可用JavaScript程序隐藏 改写浏览器菜单查看文档信息浏览器的查看文档信息选项 使用户可查看显示文档的URL信息 黑客可用JavaScript程序隐藏 改写浏览器菜单 7 4WWW客户安全性 7 4 1防范恶意代码7 4 2隐私侵犯 7 4 1防范恶意代码 几种清除恶意代码的方法1 解开被禁用的注册表编辑 解开注册表 reg 内容如下 WindowsRegistryEditorVersion5 00 HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies System DisableRegistryTools dword 00000000值为 1 则禁用注册表编辑器Regedit exe 开始 运行 gpedit msc 回车 组策略 用户配置 管理模块 系统 双击右侧窗口的 阻止访问注册表工具 选择 已禁用 单击 确定 2 解决IE属性主页不能修改HKEY CURRENT USERS DEFAULT Software Policies Microsoft InternetExplorer ControlPanel下 将 homepage 的键值由原来的 1 修改为 0 即可 或干脆将 ControlPanel 删除 3 修改IE的标题栏HKEY LOCAL MACHINE Software Microsoft InternetExplorer MainHKEY CURRENT USER Software Microsoft InternetExplorer Main在注册表中找到以上两处 将其下的 WindowTitle 主键删除 或将其值改为MicrosoftInternetExplorer即可 4 IE默认连接首页的修改修改 StartPage 的键值 来修改浏览者IE默认首页 展开注册表到HKEY LOCAL MACHINE SOFTWARE Microsoft InternetExplorer Main下 在右半部分窗口中找到串值 StartPage 双击 将StartPage的键值改为 about blank 即可 同理 展开注册表到HKEY CURRENT USER Software Microsoft InternetExplorer Main在右半部分窗口中找到串值 StartPage 然后按 中所述方法处理 退出注册表编辑器 重新启动计算机 一切OK了 特殊例子 当IE的起始页变成了某些网址后 就算你通过选项设置修改好了 重启以后又会变成他们的网址 十分的难缠 其实你机器里有一个自运行程序 它会在系统启动时将你的IE起始页设成他们的网站 解决办法 运行regedit exe 然后依次展开HKEY LOCAL MACHINE Software Microsoft Windows CurrentVersion Run主键 然后将其下的registry exe子键删除 然后删除自运行程序c ProgramFiles registry exe 最后从IE选项中重新设置起始页 5 右键菜单中的网页广告 将注册表展开到HKEY CURRENT USER Software Microsoft InternetExplorer MenuExt 在IE中显示的附加右键菜单都在这里设置 如 网络蚂蚁 和 网际快车 找到显示广告的主键条目删除即可 6 IE工具栏 菜单 被添加网站链接Flashget ICQ 某些恶意网站会向IE的工具栏 菜单 中添加它们的快捷方式 清除方法 HKEY LOCAL MACHINE Software Microsoft InternetExplorer Extensions找到形同 XXXXXXXX XXXX XXXX XXXX XXXXXXXXXXXX 的子键 将包含恶意网站链接的那个子键删除即可 另外 如果在HKEY CURRENT USER Software Microsoft InternetExplorer Extensions CmdMapping下有和您删除的形同 X X 一样键值的值项 也请将它删除 加强防范 1 不要轻易去一些自己并不了解的站点 特别是那些看上去美丽诱人的网址更不要贸然前往 2 由于该类网页是含有有害代码的ActiveX网页文件 因此在IE设置中将ActiveX插件和控件 Java脚本等全部禁止就可以避免中招 具体方法是 在IE窗口中点击 工具 Internet选项 在弹出的对话框中选择 安全 标签 再点击 自定义级别 按钮 就会弹出 安全设置 对话框 把其中所有ActiveX插件和控件以及Java相关全部选择 禁用 即可 不过 这样做在以后的网页浏览过程中可能会造成一些正常使用ActiveX的网站无法浏览 3 建议安装带ScriptBlocking功能的杀毒软件 如NortonAntiVirus2002V8 0 Kaspersky等 它将对此类恶作剧进行监控 并予以拦截 4 禁止修改注册表 达到预防的目的 HKEY CURRENT USER Software Microsoft Windows CurrentVersion Policies System下 新建一个名为DisableRegistryTools的DWORD值 并将其值改为 1 即可禁止使用注册表编辑器Regedit exe 5 对Windows2000 XP用户 还可以通过在服务里面的远程注册表操作服务 RemoteRegistryService 禁用 来对付该类网页 具体方法是 点击 管理工具 服务 RemoteRegistryService 允许远程注册表操作 将这一项禁用即可 6 升级你的IE为6 0版本 可以有效防范上面这些症状 7 下载微软最新的MicrosoftWindowsScript5 6 可以预防上面所说的现象 更可预防目前流行的 可恶的 混客绝情炸弹 8 对于有些网站还会在打开网页的时候自动安装插件或下载文件 一定要看清楚 不要随便点确定 有时即使你不确定也会中招的 如当前很流行的QQ病毒就是这样传播的 9 避免重蹈覆辙经过辛苦修改 IE恢复正常 可是一不小心又访问该网站 将前功尽弃 IE 工具 Internet选项 内容 分级检查 启用分级检查 许可站点输入不想去的站点 按 从不 按钮 确定 小结 采取防范措施 杜绝恶意代码管住自己禁用ActiveX插件 控件和Java脚本安装防病毒软件注册表加锁对Win2000用户 禁用远程注册表操作服务升级IE为IE6 0以上版本下载最新的MicrosoftWindowsScript5 6避免重蹈覆辙 7 4 2隐私侵犯 因特网技术已经引起了许多个人隐私方面的问题 它还会在将来发展的过程中对个人自由等许多方面带来意想不到的问题 涉及到个人隐私权的尊重与保护和公共安全之间的冲突问题 需