《Web的安全性》PPT课件.ppt

,CH8Web的安全性,2,本章内容,8.2Web服务器的安全性,8.3脚本语言的安全性、SQL注入,8.4旁注WEB综合检测程序,8.5WEB浏览器的安全,8.1Web安全性概述,3,网站被黑案例,恶意攻击者针对Paypal发起了攻击，他们将Paypal用户重新引导到另一个恶意网站并警告用户，他们的账户已经失窃。用户们被引导到另一个钓鱼式网站上，然后输入自己的Paypal登录信息、社会保险号和信用卡资料。俄罗斯黑客在2006年1月份利用SQL注入攻击攻破了美国罗得岛政府网站，窃取了大量信用卡资料。澳大利亚的一个税务网站在2000年被一位用户攻破。那位用户只是在网站地址中更改了税务ID账号就获得了1.7万家企业的详细资料。黑客以电子邮件的方式通知了那1.7万家企业，告知它们的数据已经被破解了。,4,思考,一服务器上运行着三种服务。一个是传统等WEB服务;二是FTP服务;三是OA(办公自动化)服务，因为该服务是WEB模式的，互联网上也可以直接访问OA服务器，所以也部署在这台服务器上。由于这台服务器的配置还是比较高的，所以，运行这三个服务来说，没有多少的困难，性能不会有所影响。现在的问题是，如何来保障它们的安全，FTP服务器、OA服务器与Web服务器之间安全上不会相互影响呢?,5,影响Web安全性的因素主要有以下几个方面。（1）由于Web服务器存在的安全漏洞和复杂性，使得依赖这些服务器的系统经常面临一些无法预测的风险。（2）Web程序员由于工作的失误或程序设计上的漏洞，也可能造成Web系统的安全缺陷。（3）用户通过浏览器和Web站点交互时，由于浏览器本身的安全漏洞，使得非法用户可以通过浏览器攻击Web站点。,8.1Web安全性概述,6,8.1.1Internet安全隐患,Internet是一个开放的、无控制机构的网络TCP/IP通信协议存在不安全因素网络操作系统中存在的安全脆弱性问题电子邮件存在着被拆看、误投和伪造的可能性病毒的传播,7,8.1.2Web安全问题,未经授权的存取窃取系统信息破坏系统非法使用病毒破坏,8,相对于传统的C/S应用模式，增加了Web服务器作为软件开发和应用平台的优点有：（1）统一的客户界面（2）平台独立性（3）高可靠性、高可扩展性（4）并行性和分布性（5）易用性和通用性,8.2Web服务器的安全性,8.2.1Web服务器3层模式,9,8.2.2Web服务器存在的漏洞,物理路径泄露目录遍历例：,10,8.2.3Web服务器的安全设置,1.构造一个安全系统（1）使用NTFS文件系统（2）关闭默认共享（3）修改共享权限（4）为系统管理员账号更名（5）禁用TCP/IP上的NetBIOS（6）TCP/IP上对进站连接进行控制（7）修改注册表，减小拒绝服务攻击的风险,11,2.保证IIS自身的安全性（1）IIS安全安装不要将IIS安装在系统分区上。修改IIS的安装默认路径。打上Windows和IIS的最新补丁。（2）用户控制的安全性1）匿名用户安装IIS后将会生成IUSR_Computername匿名用户，其匿名访问给Web服务器带来了很大的安全隐患，必须对它的访问权限进行限制，取消Web的匿名服务。（Demo）,12,2）一般用户对于一般用户，可以通过使用大小写字母和数字相结合的口令，提高密码的安全性，限制失败的登录尝试以及修改账号的生存期等对其进行管理，提高用户的安全性。,13,（3）IIS的安全配置删除不必要的虚拟目录删除危险的IIS组件为IIS中的文件分类设置权限删除不必要的应用程序映射保护日志安全,14,CGI(CommonGatewayInterface)即公共网关接口。CGI规范允许Web服务器执行外部程序，并将它们的输出发送给Web浏览器。CGI程序可能以下面两种方式产生安全漏洞。（1）CGI程序可能有意或无意地泄露主机的一些信息。（2）CGI程序在处理远程用户输入时，例如，一个表单的内容或者一个可搜索的索引命令，容易受到远程用户的攻击，用户可以骗取在系统上执行命令的权限。,8.3脚本语言的安全性、SQL注入,8.3.1CGI程序的安全性,15,处理步骤:,通过Internet把用户请求送到服务器。服务器接收用户请求并交给CGI程序处理。CGI程序把处理结果传送给服务器。服务器把结果送回到用户。,16,8.3.2SQL注入,网站程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL注入（SQLInjection）。,17,现在不少网站被黑并不是因为自身的Web程序存在漏洞，而是黑客通过入侵了与其在同一个虚拟主机的网站，而后黑掉这些网站的，这种攻击手法叫做旁注法。在架设好服务器之后，可以使用“旁注WEB综合检测程序”检测WEB应用程序方面的漏洞。,8.4旁注WEB综合检测程序,18,8.5Web浏览器的安全性,8.5.1浏览器本身的漏洞,IE的自动登录不使用“保存密码”选项IE的颜色足迹软件应用IE的自动完成IE的安全区域设置,19,8.5.2ActiveX的安全漏洞,1.ActiveX的安全性漏洞,由于ActiveX控制不含有任何类似的严格安全性检查或资源权限检查，使得用户在使用IE浏览器浏览一些带有恶意的ActiveX控件时，这些控件可以在用户毫不知情的情况下执行Windows系统中的任何程序，将用户计算机上的机密信息发送给Internet上的某台服务器，向局域网中传播病毒，甚至修改用户IE的安全设置等，这些都会给用户带来很大的安全风险。,20,Scr.Reset()；Scr.Path=C:WindowsStartMenuProgramstest.hta；Scr.Doc=Wash.Run(startdeltreec:test.txtY);alert(IMPORTANT：Windowsisremovingunusedtemporaryfiles。)；Set.write()；,21,2、IE浏览器中ActiveX的设置工具-Internet选项-安全-自定义级别-安全设置-,22,可以通过下面3种方法删除或重新设置Cookie的使用。(1)在Windows下拒绝Cookie的使用，可以删除Cookie文件夹中文件的内容，或者把文件的属性设置成只读或隐含。(2)在IE中设置