Web安全技术简介

1、Web安全技术简介WWW？Web客户端与Web服务器Web协议HTTP（Hyper Text Transfer Protocol）基于ASCII码指令回应消息头部（可选）：一行或多行文本Header Name:Header Value基于HTTP头部的攻击（不常见）头部简单任何无效的指令或回应被忽略缓冲区溢出攻击（早期）使用HTTP获取不属于任何超链接文档的文件，以获取有效用户名或密码对策：避免配置错误，尤其Web密码文件不要放在文档目录中基于HTTP协议的攻击（几乎没有）基于HTTP验证的攻击（最常见）基于用户名和密码的目录访问验证用户名、密码为明文发送密码容易猜测电子欺骗伪装网站基于流量的

2、攻击（常见）Web服务器所允许同时连接的数量是有限的无法阻止嗅探HTTPS（443），使用SSL基于HTML头部的攻击（不常见）头部复杂、自由Image标签Applet标签Hyperlink标签，用于将用户转向欺骗性的网站对策：用户教育基于HTML协议的攻击将信息嵌入到HTML中以注释的形式或者以固定值传递到服务器端运行修改页面信息然后上传到服务器，例如修改价格对策：监控基于HTML验证的攻击不直接支持验证，无基于用户验证的漏洞电子欺骗主机到用户基于证书的验证（仅对于加密的网站）基于流量的攻击（常见）嗅探HTTPS（443），使用SSL什么是CGICGI，Common Gateway Inte

3、rface：公共网关接口定义一个程序如何与Web服务器进行连接的标准输出HTML代码CGI程序使网页具有交互功能HTTP服务器与其它客户端的程序进行“交谈”的一种工具CGI程序能够用Python, PERL, Shell, C or C+等语言来实现CGI脚本简例#include using namespace std;int main () cout Content-type:text/htmlrnrn; cout n; cout n;cout Hello World - First CGI Programn; cout n; cout n; cout Hello World! This i

4、s my first CGI programn; cout n; cout n”; return 0;基于CGI头部的攻击缓冲区溢出CGI脚本中存在错误且没有限制参数：攻击者使用CGI脚本访问没有打算访问的资源基于CGI验证的攻击漏洞一：蹩脚的CGI脚本将用户验证作为参数中URL中传递，易于使攻击者猜测到密码对策：设计良好的CGI脚本，正确使用应用程序验证漏洞二：客户无法验证Web服务器或获知服务器端可执行程序是否正被使用，CGI程序自动收集关于用户的数据。对策：用户教育客户端安全插件插件：（Plug-in，又称addin、add-in、addon或add-on，又译外挂）遵循一定规范的应用程

5、序接口编写出来的程序，使浏览器处理各种文档类型的可执行程序。可执行插件：处理可执行代码，如Java applet文档插件：处理PDF等其他文档类型浏览器插件：处理图像、音频、视频等文档类型浏览器cookieCookie是通过Web服务器存储再浏览器所在的计算机上的小片数据信息，可由服务器读回去Cookie用于保持用户的会话状态Cookie信息保存在客户端，存在较大的安全隐患一般浏览器对Cookie的数目及数据大小有严格的限制Cooki课记录用户所做过的事情，跟踪用户基于客户端验证的攻击大多数客户端可执行程序未被验证：恶意代码插件自动处理，用户不知道插件已被激活：插件攻击通过Web下载的可执行文件：电子邮件对策：用户教育、本地病毒扫描程序和个人防火墙基于流量的攻击