计算机安全技术大作业.doc

上海XXXX计算机安全技术大作业题目: WEB安全 学号： 2008XXXX 学生姓名： XXXX 院系： 计信学院 专业： 软件工程 班 级： 2008XXXX 2011 年6月20日目录一、Web攻击原理和过程3（一）、常见的Web攻击行为3（二）、Web站点欺骗攻击行为特点4（三）、攻击过程分析4二、防范对策6三、Web服务器的安全措施6（一）服务器日常维护的注意事项6（二）Web服务器与用户之间的认证7四、结论10WEB安全摘要：随着计算机网络技术的飞速发展，互联网已经与人们的生活不可分割。越来越多的用户通过Web获得信息，进行网上交流和网上交易，然而很少有用户能意识到正当他们使用Web时，却有少数网络攻击者正窥视着他们的一举一动，利用这大多数网络用户网络安全知识的缺乏和疏忽进行一些网络攻击和破坏。Web面临着各种各样的安全威胁。本文通过分析Web攻击原理和过程包括常见的Web攻击行为、Web站点欺骗攻击行为的特点以及Web站点欺骗攻击过程，阐述了对于Web站点欺骗攻击的主要防范方法，得出了几种Web服务器安全措施，如服务器日常维护的注意事项、Web服务器与用户之间的认证、Web服务认证实例。关键字：Web攻击、防范对策、安全措施引言：计算机科学以及web技术的发展，给人们生活的方方面面带来了方便。然而在用户通过Internet获取和共享各种信息的同时，用户的信息安全也处于少数网络攻击者的窥视之下。稍不注意，就会给用户带来损失。接下来从几个方面来谈论一下Web欺骗与防范。越来越多的用户通过Web获得信息，进行网上交流和网上交易，然而很少有用户能意识到正当他们使用Web时，却有少数网络攻击者正窥视着他们的一举一动，利用这大多数网络用户网络安全知识的缺乏和疏忽进行一些网络攻击和破坏。Web面临着各种各样的安全威胁。接下来从几个方面来谈论一下Web欺骗与防范。一、Web攻击原理和过程（一）、常见的Web攻击行为 1、Web信息虚假行为从安全的角度认为，那些提供虚假网络信息的网站也要归类为一种网络攻击，是虚假服务提供者对网络用户的一种攻击行为，浪费了用户的时间、金钱（网络费用），甚至给网络用户带来病毒和后门。此外，Web站点的广泛应用，诱惑着网上的欺诈行为。类似的例子是张贴在街头的小广告，我们仅凭看到的一些信息，无法分辨哪些是真，哪些是假，而在Web上，这种欺诈就变得更加容易了。用户在使用计算机时总是根据他们所看到的内容做出关于安全性的决定。比如，也许会看到银行的Web页面时输入在该银行的账户和口令，而很少有人会想，这Web页面是不是来自银行的信息。尽管目前已经有一些安全的交易软件问世，但并不是每个站点都使用它。因此，对于不安全的交易，给以自己的信用卡号或其他社会安全号码（比如身份证号）时就要十分地小心。2、基于cookie欺骗的Web攻击很多社区网为了方便网友浏览，都使用了cookie技术以避免多次输入密码，所以只要对服务器递交给用户的cookie进行改写就可以达到欺骗服务程序的目的。按照浏览器的约定，只有来自同一域名的cookie才可以读写，而cookie只是浏览器的，对通信协议无影响，所以要进行cookie欺骗可以有多重途径。（1）跳过浏览器，直接对通信数据改写。（2）修改浏览器，让浏览器从本地可以读写任意域名cookie。（3）使用签名脚本，让浏览器从本地可以读写任意域名cookie。（4）欺骗浏览器，让浏览器获得假的域名。 3、错误与疏漏 Web管理员、Web设计者、页面制作人员、Web操作员以及编程人员有时会无意地犯些错误，导致一些安全问题。很多时候，这种错误本身就是一种威胁。编程的错误可能导致系统崩溃或是损害系统安全。 安装和维护中的错误也会引起安全问题。比如，在Java小应用程序中，如果NetscapeNavigator在安装时将Java脚本对话框禁止使用，则用户受到的威胁就小多了。（二）、Web站点欺骗攻击行为特点在假日消费高峰期间，许多购物者依靠方便而快捷的网上购物来满足自己的购物需求。如果客户是他们中的一员，那么和拥挤的超市和礼品店中一样，在网络上购物也要万分小心。否则，客户将被一些不怀好意的人所利用。怀有恶意的黑客和病毒制造者会引诱客户访问他们制作的欺骗性站点，客户可能会从这个站点上下载一个有害的病毒文件或者输入一些个人信息。他们可能会发送给客户一封欺骗性质的电子邮件或者诱使客户点击一个通往恶意站点的链接来实现这个目的。这种Web欺骗是指攻击者建立一个使人相信的Web页站点的复制，这个Web站点复制就像真的一样：它具有所有的页面和连接。然后攻击者控制了这个Web站点的复制，被攻击对象和真的Web站点之间的所有信息流动都被攻击者所控制了。攻击者可以被动地观察整个数据流，记录浏览者所访问的页面以及页面的内容。当浏览者填充某个表格时，输入的数据被传输到Web服务器，但同时攻击者也可以记录下来，攻击者还可以记录服务器的响应。大多数在线商务都要填充表格，所以攻击者很容易获得用户口令。（三）、攻击过程分析攻击的关键在于攻击者的Web服务器能够插在浏览者和其他的真正的Web之间，如图所示： 用户浏览器 真正的Web服务器 攻击者的服务器 1、准备阶段网络攻击者在开始攻击前，首先要进行的就是准备阶段，在准备阶段主要就是修改URL。URL是WWW页得地址，它从左到右由下述部分组成：（1）Internet资源类型（2）服务器地址（3）端口（4）路径在网页制作过程中有一个绝对URL和相对URL的概念。所谓绝对与相对URL由以下例子说明。网址文件路径网站根目录/dir1/filename.htm绝对URL的写法/dir1/filename.htm相对URL的写法dir1/filename.htm客户端浏览器对绝对URL和相对URL的处理是不一样的，因为相对URL没有指出服务器的域名或地址，那么客户端会自动认为服务器来自当前浏览网页所在的服务器。对于Web欺骗攻击来说，攻击者的首要任务是改写某个页面上所有的URL，使得这些连接都指向攻击者机器，而不是真正的服务器。假定攻击者的服务器在机器上运行，那么攻击者要在页面上的所有URL前加上如，原来的URL为就变成了/http”/。这并不是一件很困难的事情，许多镜像站点和一些组织内部，为了节省网络开销和安全原因，常常将用户发出的URL改写为本地一个服务器的地址，但用户往往不知道。二、防范对策首先，可以对网络攻击者进行跟踪，为了进行攻击，攻击者的机器位置肯定要暴露出来，如果攻击被发现，是很容易找到这个位置的，可以使用网络监听或用netstat之类的工具找到攻击者所用的服务器。不幸的是，这不会起很大的作用，因为对于一个水平较高的网络攻击者来说，他很有可能侵入了另外的机器，然后从这台机器开始进行攻击的。就是发现了这台机器也没法找到真正的攻击者，甚至攻击者也会替自己辩护，说自己的机器被入侵了。对于一些受害者来说，如果感觉到自己的机器可能被攻击时，可以采用一些短期办法防止这种攻击。（1）关闭浏览器的JavaScript，使得攻击者不能隐藏攻击过的迹象。（2）保持浏览器的地址行总是可见的。（3）注意观察浏览器地址行上所显示的URL，确信它们是指向自己想要连接的服务器。通过这些办法，可以大大地减小被攻击的可能性。目前，JavaScript、ActiveX和Java等都使得欺骗越来越方便了，因此，最好是在浏览器上全部关闭它们。尽管这样做会减少浏览器的功能，但这还是值得的。只当在访问完全相信的服务器时菜打开它们。三、Web服务器的安全措施（一）服务器日常维护的注意事项（1）保证注册账户的时效性，注意不要有死账户：对每个账户要有历史记载；注意那些身份不明的账户。（2）删除死账户（3）强制用户登录时使用好的密码（4）不要保留不用的服务。（5）有不用的shell或解释程序，则删除它们。（6）定期检查系统和Web记录以发现可疑活动。（7）检查系统文件的权限设置是否正确。对于UNIX服务器，可用COPS一类的工具。（8）检查本地用户是否在不注意时修改了Web配置文件或目录树。只有可胜任的本地用户可以有权改变文件和访问服务器的根目录。（二）Web服务器与用户之间的认证1、常见的认证技术服务者与用户之间的认证是验证通信对象是否是原定的那位而不是冒名顶替者的技术。验证远程过程实体是否是一个恶意的积极入侵者十分困难，并需要基于密码学的复杂协议。认证可采用各种方法进行。传统的认证技术主要采用基于口令的认证方法。当被认证对象要求访问提供服务的系统时，提供服务的认证方要求被认证对象提交该对象的口令，认证方收到口令后，将其与系统中存储的用户口令进行比较，以确认被认证对象是否为合法访问者。然而，基于口令的认证方法存在下面几点不足：（1）用户每次访问系统时都要以明文方式输入口令，这时很容易泄密。（2）口令在传输过程中可能被解惑。（3）系统中所有用户的口令以文件形式存储在认证方，攻击者可以利用系统中存在的漏洞获取系统的口令文件。（4）用户在访问多个不同安全级别的系统时，都要求用户提供口令，用户为了记忆的方便，往往采用相同的口令。而低安全级别系统的口令更容易被攻击者获得，从而用来对高安全级别系统进行攻击。2、CHAP协议认证提问握手认证协议CHAP采用的就是提问响应方法，它通过三次握手方式对被认证方的身份进行周期性的认证。其认证过程是：第一步，在通信双方链路建立阶段完成后，认证方向被认证方发送一个提问消息；第二步，被认证方向认证方发回一个响应，该响应由单向散列函数计算得出，单向散列函数的输入参数由本次认证的标识符、秘诀和提问构成；第三步，认证方将收到的响应与它自己根据认证标识符、秘诀和提问计算出的散列函数值进行比较，若相符则认证通过，向被认证方发送“成功”消息，否则，发送“失败”消息，断开连接。在双方通信过程中系统将以随机的时间间隔重复上述三步认证过程。CHAP具有以下优点：（1）通过不断地改变认证标识符和提问消息的值来防止回放攻击。（2）利用周期性的提问防止通信双方在长期会话过程中被攻击。（3）虽然CHAP进行的是单向认证，但在两个方向上进行CHAP协商，也能实现通信双方的相互认证。（4）CHAP可用于认证多个不同的系统。CHAP的不足之处是：CHAP认证的关键是秘诀，CHAP的秘诀以明文形式存放和使用，不能利用通常的不可逆加密口令数据库。并且CHAP的秘诀是通信双方共享的，这一点类似于对称密钥体制，因此给秘诀的分发和更新带来了麻烦，要求每个通信对都有一个共享的秘诀，这不适合大规模的系统。3、Web服务认证实例（1）基本Apache的用户认证 若对某一目录下的文件如/home/ftp/pub需要做到用户认证，则在httpd.conf中加入下面的行options indexes followsymlinksallowoverride authconfigorder allow,denyallow from all用在目录/home/ftp/pub下放文件.htaccess，内容如下：authname “shared files”authtype basicauthuserfile/etc/.passwdrequire valid-user用随Apache来的程序htpasswd生成文件/etc/.passwd，每行一个用户名：密码只要能提供正确的用户名和密码对，就允许登录访问，这是针对从任何地址来的请求都要求提供用户名和密码认证。（2）针对部分网段或地址要求认证若公司局域网所在网段为/24，且由一防火墙专线接入Internet，内部网卡的地址为/32，如果现在希望所有通过拨本地163上网的用户，在通过防火墙上的apache反向代理访问公司内部局域网上的Web服务器时，都需要认证，而公司本地内部局域网上的用户则不需要认证。那么可以在httpd.conf中放入如下一段代码：options indexes followsymlinksallowoverride authconfigorder deny,allowdeny from 且在/home/ftp/pub/.htaccess中放入：authname”shared files”authtype basicauthuserfile/etc/.passwdrequire valid-usersatisfy any而对同一目录及其下的子目录有不同的权限，仅某些人可以存取一目录下的子目录。例如有一目录/home/ftp/pub/sales，有三个用户user1、user2和user3都需要用户名和密码进入/home/ftp/pub，但仅user1和user2能进入/home/ftp/pub/sales。则将下面的行放入httpd.conf。options indexesallowoverride authconfigorder allow,denyallow from alloptions indexesallowoverride authconfigorder allow,denyallow f