企业网站服务之建置与管理.ppt

企業網站服務之建置與管理 國立暨南國際大學資訊管理學系陳彥錚 大綱 WWW技術簡介企業網站建置WWW安全 1 WWW技術簡介 1945 VannevarBush發表 AsWeMayThink AtlanticMonthly 超連結 Hyperlink Mar 1989 服務於CERN之TimBerners Lee發表 InformationManagement AProposal Aclient servermodelforadistributedhypertextsystem CERN EuropeanOrganizationforNuclearResearch WWW技術發展 1990 TimBL撰寫第一個Web瀏覽器 WorldWideWeb Sep 1993 NCSA發表Mosaicbrowser Mar 1994 MarcAndreessen JimClark開設MosaicCommunicationsCorp 後改名Netscape Dec 1994 Netscape發表NetscapeNavigator只支援HTML NCSA NationalCenterforSupercomputingApplications HTMLandHTTP 2 HTTPResponse 1 HTTPRequest HTMLDocument ClientPC WebServer Browser WebServerApplication BrowserIE 49 Firefox 43 GoogleChrome 3 Safari Opera WebServerApache 50 MicrosoftIIS 35 GoogleGWS 6 http en wikipedia org wiki Usage share of web browsers DownloadingaWebPagewithTwoGraphicsFiles ClientPC Browser WebServerApplication WebServer WebpageConsistsofThreeFilesRenderedasaSinglePageOn Screen AsDisplayed 2GraphicsFiles HTMLDocument http web2 im ncnu edu tw ycchen www wwwm html DownloadingaWebPagewithTwoGraphicsFiles 1 HTMLDocument ClientPC Browser WebServerApplication WebServer DownloadRequires3HTTPRequest ResponseCycles DownloadsHTMLPageFirstIthasTagstoIdentifyOtherFiles AsDisplayed 2GraphicsFiles HTMLDocument DownloadingaWebPagewithTwoGraphicsFiles ClientPC Browser WebServerApplication WebServer AsDisplayed 2GraphicsFiles 2 3 WWW技術發展 JavaScript Dec 1995 NetscapeNavigator2 0支援JavaScript可於Brower中解譯執行的程式語言 for i 0 i alert WelcometoJavaScriptTest nSeeyou AdvantagesofUsingJavaScript Validateuser sinput Performaggregratecalculations Easilypromptauserforconfirmation alert pop upinformation ControlofWebbrowser sbehaviorsandHTMLpagecomponent sproperties ConditionalizeHTML Performoperationsindependentofserverinformation ControlofDynamicHTML http web2 im ncnu edu tw ycchen www js byExample htmlhttp web2 im ncnu edu tw ycchen www2000 npm html Java Jan 1996 Sun公司發表Java程式語言Java應用程式編譯成Bytecode 可在支援JVM JavaVirtualMachine 之環境執行JavaApplet可在Web瀏覽器執行的Java小程式 歡迎使用校務自動化系統 CascadingStyleSheets CSS 樣式表 Stylesheet 語言提供網頁設定樣式功能 讓網頁能以更精確與結構化方式顯示網頁版面DynamicHTML JavaScript CSS a text decoration none td background color Ivory ul list style image url gball gif h2 color white background color black font size 1in http stdata im ncnu edu tw 其他Browser端Web技術 瀏覽器之plug in 附加元件 功能Flash http web2 im ncnu edu tw ycchen doc1 PDF WindowsMediaPlayer QuickTime XML ExtensibleMarkupLanguage AJAX AsynchronousJavaScriptandXML s96211341Chia ChiaLius96211341 ncnu edu tw tw news software 0 2000085678 20145297 00 htm 網頁設計應注意事項 兼顧美工與內容避免使用橫向捲軸從216種SafetyColor選用顏色考慮瀏覽器的差異性 JavaScript ActiveX CSS 超連結之正確性file C www radio htmlhttp 192 168 0 1 xx html Server端Web技術 CommonGatewayInterface CGI WebServer與Server端應用程式之介面Server端Web程式語言ASP JSP Perl PhpDatabaseMSSQLServer MySQL mSQL Oracle WebContentManagementSystem CMS Joomla tw http www classicalvinylrepublic tw WordPressDrupalXoops 2 企業網站建置 網頁 程式 設計靜態網頁 Flash多媒體 動態網頁程式電子商務會員制付款機制 信用卡 ATM轉帳 貨到付款網站架設自行架設虛擬主機 VirtualHosting 主機代管 Co Location 自行架設網站 硬體 機櫃式Server RAID硬碟 不斷電系統軟體 作業系統 Web伺服器程式 資料庫XAMPP網路 IP位址 主機領域名稱對外頻寬網路安全及防火牆 虛擬主機 VirtualHosting 由ISP出租架設網站所需之硬體 軟體 網路服務 專屬領域名稱及網路位址磁碟空間網路頻寬Server端Web程式語言支援資料庫後台管理 主機代管 Co Location ISP提供機房與網路 供企業客戶放置自己的主機與網路設備 IDC InternetDataCenter 服務機房空間網路頻寬提供IP位址網路管理 流量監測 障礙管理網路安全 DDoS攻擊 掃毒 3 WWW安全 WebsecurityisimportantforE Commerce Previousstudies SSLSETWebserversecurityApplication levelsecurityWebapplicationsmistakenlytrustdatareturnedfromaclient OWASP OpenWebApplicationSecurityProject OWASP http www owasp org index php Taiwan 十大Web資安漏洞列表 A1 跨站腳本攻擊 CrossSiteScripting 簡稱XSS A2 注入缺失 InjectionFlaw SQLInjection與CommandInjectionA3 惡意檔案執行 MaliciousFileExecution A4 不安全的物件參考 InsecureDirectObjectReference A5 跨網站的偽造要求 Cross SiteRequestForgery 簡稱CSRF A6 資訊揭露與不適當錯誤A7 遭破壞的鑑別與連線管理A8 不安全的密碼儲存器A9 不安全的通訊 InsecureCommunication A10 疏於限制URL存取 FailuretoRestrictURLAccess 資料來源 OWASP台灣分會 OWASP OpenWebApplicationSecurityProject 2007 TheTenMostCriticalWebApplicationSecurityVulnerabilities UnvalidatedParametersBrokenAccessControlBrokenAccountandSessionManagementCross SiteScripting XSS BufferOverflowsCommandInjectionFlawsErrorHandlingProblemsInsecureUseofCryptographyRemoteAdministrationFlawsWebandApplicationServerMisconfiguration 1 UnvalidatedParameters Informationfromwebrequestsisnotvalidatedbeforebeingusedbyawebapplication Attackerscanusetheseflawstoattackbackgroundcomponentsthroughawebapplication 2 BrokenAccessControl Restrictionsonwhatauthenticatedusersareallowedtodoarenotproperlyenforced Attackerscanexploittheseflawstoaccessotherusers accounts viewsensitivefiles oruseunauthorizedfunctions 3 BrokenAccountandSessionManagement Accountcredentialsandsessiontokensarenotproperlyprotected Attackersthatcancompromisepasswords keys sessioncookies orothertokenscandefeatauthenticationrestrictionsandassumeotherusers identities 4 Cross SiteScripting XSS Thewebapplicationcanbeusedasamechanismtotransportanattacktoanenduser sbrowser Asuccessfulattackcandisclosetheenduser ssessiontoken attackthelocalmachine orspoofcontenttofooltheuser XSSExample window location 留言版 XSSWebApplicationHijackScenario 5 BufferOverflows Webapplicationcomponentsinsomelanguagesthatdonotproperlyvalidateinputcanbecrashedand insomecases usedtotakecontrolofaprocess ThesecomponentscanincludeCGI libraries drivers andwebapplicationservercomponents 6 CommandInjectionFlaws Webapplicationspassparameterswhentheyaccessexternalsystemsorthelocaloperatingsystem Ifanattackercanembedmaliciouscommandsintheseparameters theexternalsystemmayexecutethosecommandsonbehalfofthewebapplication SQLInjection SQLQuery SELECT FROMUsersWHERE UserName strUN AND Password strPW Username fredchen password 199msq SELECT FROMUsersWHERE UserName fredchen AND Password 199msq SQLInjection Username Password OR A A SELECT FROMUsersWHERE UserName OR A A AND Password OR A A InputValidation 7 ErrorHandlingProblems Errorconditionsthatoccurduringnormaloperationarenothandledproperly Ifanattackercancauseerrorstooccurthatthewebapplicationdoesnothandle theycangaindetailedsysteminformation denyservice causesecuritymechanismstofail orcra