第七章 WWW安全性
第七章 WWW安全性
7.1 HTTP协议及 WWW服务
7.2 WWW服务器的安全性
7.3 Web欺骗
7.4 WWW客户安全性
7.5 增强 WWW的安全性
第七章 WWW安全性
本章学习目标
本章本章主要介绍了 WWW的有关安全问题。通过本章学习,读
者应该掌握以下内容,
Web与 HTTP协议,HTTP数据包的过滤特性和代理特性,Web的
访问控制,HTTP的安全问题,S-HTTP和 SSL的简介,缓存的安
全性;
WWW服务器的安全漏洞; NCSA,Apache,Netscape的安全
问题;
CGI程序的安全性问题;
Plug-in的安全性问题;
Java与 JavaScript的安全性问题;
Cookies的安全性;
ActiveX的安全性;
Web攻击的行为特点;与 Web安全相关的决策;
WWW客户安全性;
如何增强 WWW的安全性; 返回本章首页
第七章 WWW安全性
7.1 HTTP协议及 WWW服务
7.1.1 HTTP协议及其安全性
7.1.2 Web的访问控制
7.1.3 安全超文本传输协议 S-HTTP
7.1.5 安全套接层 SSL
7.1.6 缓存的安全性
返回本章首页
第七章 WWW安全性
7.1.1 HTTP协议及其安全性
HTTP协议( Hypertext Transfer Protocol,超文本
传输协议)是分布式的 Web应用的核心技术协议,在
TCP/IP协议栈中属于应用层。它定义了 Web浏览器
向 Web服务器发送 Web页面请求的格式,以及 Web页
面在 Internet上的传输方式。
HTTP协议允许远程用户对远程服务器的通信请求,
这会危及 Web服务器和客户的安全
HTTP的另一个安全漏洞就是服务器日志。
返回本节
第七章 WWW安全性
7.1.2 Web的访问控制
IP地址并不能得到解析,因为客户机本地名字服务器配置可能不正
确,这个时候 HTTP服务器就伪造一个域名继续工作。 一旦 Web服
务器获得 IP地址及相应客户的域名,便开始进行验证,来决定客户
是否有权访问请求的文档。这其中隐含着安全漏洞。
可用一些方法来增强服务器的安全性
返回本节
第七章 WWW安全性
7.1.3 安全超文本传输协议 S-HTTP
S-HTTP( Secure Hyper Text Transfer Protocol)是保护
Internet上所传输的敏感信息的安全协议。随着 Internet和 Web
对身份验证的需求的日益增长,用户在彼此收发加密文件之前需
要身份验证。 S-HTTP协议也考虑了这种需要。
S-HTTP的目标是保证蓬勃发展的商业交易的传输安全,因而推
动了电子商务的发展。 S-HTTP使 Web客户和服务器均处于安全
保护之下,其信息交换也是安全的。
返回本节
第七章 WWW安全性
7.1.5 安全套接层 SSL
SSL( Secure Sockets Layer) 是 Netscape公司设计和开发的,
其目的在于提高应用层协议 ( 如 HTTP,Telnet,NNTP,FTP等 )
的安全性 。 SSL协议的功能包括:数据加密, 服务器验证, 信息完
整性以及可选的客户 TCP/IP连接验证 。 SSL的主要目的是增强通
信应用程序之间的保密性和可靠性 。
SSL是两层协议, 它依赖了一些可靠的传输协议
SSL不同于 S-HTTP之处在于后者是 HTTP的超集, 只限于 Web
SSL 可以使用各种类型的加密算法和密钥验证机制
安全方案不仅仅只有 SSL和 S-HTIP
返回本节
第七章 WWW安全性
7.1.6 缓存的安全性
缓存通过在本地磁盘中存储高频请求文件, 从而大大提高
Web服务的性能 。 不过, 如果远程服务器上的文件更新了,
用户从缓存中检索到的文件就有可能过时 。 而且, 由于这些文
件可由远程用户取得, 因而可能暴露一些公众或外部用户不能
读取的信息 。
HTTP服务器通过将远程服务器上文件的日期与本地缓存的
文件日期进行比较可以解决这个问题 。
返回本节
第七章 WWW安全性
7.2 WWW服务器的安全性
7.2.1 WWW服务器的安全漏洞
7.2.2通用网关接口 (CGI)的安全性
7.2.3 Plug-in的安全性
7.2.4 Java与 JavaScript的安全性
7.2.5 Cookies的安全性
7.2.6 ActiveX的安全性
返回本章首页
第七章 WWW安全性
7.2.1 WWW服务器的安全漏洞
1,NCSA服务器的安全漏洞
2,Apache WWW服务器的安全问题
3,Netscape的 WWW服务器的安全问题
返回本节
第七章 WWW安全性
7.2.2通用网关接口 (CGI)的安全性
公共网关接口( CGI)提供了扩展 Web页面功能的最灵活的
方法。客户方 CGI的编程用 HTML标记,让窗口捕获用户的
输入,并把它传到服务器方的应用程序,服务器方的 CGI把
这些信息传递给应用程序,由它返回给客户系统更新的
Web页面和其他信息。
1,CGI程序的编写应注意的问题
2,CGI脚本的激活方式
3.不要依赖于隐藏变量的值
4,CGI的权限问题
返回本节
第七章 WWW安全性
7.2.3 Plug-in的安全性
把任何一个命令行 shell,解释器, 宏处理器或脚本语言处
理器作为一种文档类型的阅读器, 都会受到 Web上的攻击 。
不要为任何可能包含可执行语句的文件声明任何外部阅读
器 。 Java和安全 Tcl这些脚本语言会检测到这个安全问题:它
们可以防止那些危险的功能 。
返回本节
第七章 WWW安全性
7.2.4 Java与 JavaScript的安全性
尽管名字上很相似, 但 Java与 JavaScript之间毫无瓜葛 。
Java是 Sun公司设计的一种语言 。 用 Java编写的代码编译
成一种紧凑的格式并存在连接的服务器端 。 JavaScript是
Netscape公司设计的一系列 HTML语言扩展, 它增强了
HTML语言的动态交互能力, 并且可以把部分处理移到客户
机, 减轻服务器的负载 。
1.Java applet的安全性的问题
2.JavaScript的安全性问题
返回本节
第七章 WWW安全性
7.2.5 Cookies的安全性
Cookie是 Netscape公司开发的一种机制。用来改善 HTTP协
议的无状态性。 Cookie是一段很小的信息,通常只有一个短
短的章节标记那么大。它是在浏览器第一次连接时由 HTTP服
务器送到浏览器的。以后,浏览器每次连接都把这个 Cookie的
一个拷贝返回给服务器。
Cookie不能用来偷关于用户或用户的计算机系统的信息。但
是大多数的 Cookie是试图改善 Web浏览体验的良性尝试,而
不是侵犯隐私。
返回本节
第七章 WWW安全性
7.2.6 ActiveX的安全性
ActiveX是 Microsoft 公司开发的用来在 Internet上分发软件的
产品 。 ActiveX控件有许多是为 Microsoft Internet Explorer(目前
唯一支持它们的浏览器 )而做的,ActiveX的安全模型与 Java applet
有很大不同 。
ActiveX的授权过程保证 ActiveX不能被匿名分发, 并且控件在公
布以后不会被第三者修改 。
ActiveX可以从 Microsoft Internet Explorer的选项菜单里完全
关闭 。 只要找到活跃内容一项并选择最安全选项即可实现关闭 。
返回本节
第七章 WWW安全性
7.3 Web欺骗
7.3,1 Web攻击的行为和特点
7.3,2 攻击的原理和过程
返回本章首页
第七章 WWW安全性
7.3,1 Web攻击的行为和特点
Web欺骗是指攻击者建立一个使人相信的, Web页站点的拷贝,
这个假的 Web站点拷贝就像真的一样:它具有所有的页面和连接。然
而攻击者控制了这个假的 Web页,被攻击对象和真的 Web站点之间
的所有信息流动都被攻击者所控制了。
攻击者可以监视和控制整个过程
1.静态地观察
2.实施破坏
3.攻击的简单性
返回本节
第七章 WWW安全性
7.3,2 攻击的原理和过程
攻击的关键在于攻击者的 Web服务器能够插在浏览者和其他的 Web
之间
1,改写 URL
2,开始攻击
3,制造假象
攻击者的伪 Web服务器
Web服务器 受骗用户
返回本节
第七章 WWW安全性
7.4 WWW客户安全性
7.4.1防范恶意代码
7.4.2 隐私侵犯
返回本章首页
第七章 WWW安全性
1.几种清除恶意代码的方法
(1)解开被禁用的注册表
(2)解决 IE属性主页不能修改
(3) 修改 IE的标题栏
(4)IE默认连接首页的修改
(5) 右键菜单中的网页广告
7.4.1防范恶意代码
2.采取防范措施,杜绝恶意代码
( 1) 管住自己
( 2) 禁用 ActiveX插件、控件和
Java脚本
( 3) 安装防病毒软件
( 4) 注册表加锁
( 5) 对 Win2000用户,禁用远程
注册表操作服务
( 6)升级 IE为 IE6.0以上版本
( 7)下载微软最新的
Microsoft Windows Script 5.6
( 8) 避免重蹈覆辙
返回本节
第七章 WWW安全性
7.4.2 隐私侵犯
广泛使用的英特网技术已经引起了许多个人隐私方面的问题, 它还会
在将来发展的过程中对个人自由的许多方面带来意想不到的问题 。 涉
及到一个个人隐私权的尊重与保护和公共安全之间的冲突问题 。 需要
指出的是, 并不是在任何时候保护公共安全的需要都应当优先于保护
和尊重个人隐私权的需要 。
1,网上数据搜集的方法
2,网上数据搜集对个人隐私可能造成的侵害
返回本节
第七章 WWW安全性
7.5 增强 WWW的安全性
7.5.1 WWW安全建议
7.5.2 Web保护方法
7.5.3 Web服务器的安全措施
返回本章首页
第七章 WWW安全性
7.5.1 WWW安全建议
尽可能使用一台专用堡垒主机,应仔细配置服务器来控制它访问的东
西;特别要注意某人会设法向系统装载程序,然后通过 HTTP服务器来
执行。
在没有允许内部主机访问所有 TCP端口的情况下,不能允许它们访问
所有 HTTP服务器 。代理 HTTP
使用一个高速缓存代理服务器即可。这样既有利于扩展网络宽度,又
有利于安全。
返回本节
第七章 WWW安全性
7.5.2 Web保护方法
虽然 Web欺骗是危险的和几乎不可察觉的,然而还是可以采用下面的一些方
法进行保护。
1.跟踪攻击者
可以使用网络监听或用 netstat之类的工具找到攻击者所用的服务器
2.短期的解决方法
( 1) 关闭浏览器的 JavaScript,使得攻击者不能隐藏攻击的迹象。
( 2) 确信你的浏览器的地址行总是可见的。
( 3) 留意浏览器地址行上显示的 URL,确信它们一定是指向所想的服务器。
3.长期办法
访问限制方法,IP地址、子网、域的限制 ;用户名和密码 ;加密
返回本节
第七章 WWW安全性
7.5.3 Web服务器的安全措施
限制 IP地址可以提供一定程序的安全性,但并不能阻止黑客攻击站点。
比较理想的方法是,对 IP地址的限制与其他一些验证方法,如检查用户
名和密码等,结合起来。
运行 Web服务器可以采取的一些基本安全手段
( 1) 保证注册账户的时效性。
( 2) 删除死账户。
( 3) 强制用户登录时使用好的密码
( 4) 不要保留不用的服务。
( 5)有不用的 shell或解释程序,则删除它们。
( 6)定期检查系统和 Web记录以发现可疑活动。
( 7) 检查系统文件的权限设置是否正确。
返回本节
第七章 WWW安全性
THANK YOU VERY MUCH !
本章到此结束,
谢谢您的光临!
返回本章首页 结 束放映
第七章 WWW安全性
7.1 HTTP协议及 WWW服务
7.2 WWW服务器的安全性
7.3 Web欺骗
7.4 WWW客户安全性
7.5 增强 WWW的安全性
第七章 WWW安全性
本章学习目标
本章本章主要介绍了 WWW的有关安全问题。通过本章学习,读
者应该掌握以下内容,
Web与 HTTP协议,HTTP数据包的过滤特性和代理特性,Web的
访问控制,HTTP的安全问题,S-HTTP和 SSL的简介,缓存的安
全性;
WWW服务器的安全漏洞; NCSA,Apache,Netscape的安全
问题;
CGI程序的安全性问题;
Plug-in的安全性问题;
Java与 JavaScript的安全性问题;
Cookies的安全性;
ActiveX的安全性;
Web攻击的行为特点;与 Web安全相关的决策;
WWW客户安全性;
如何增强 WWW的安全性; 返回本章首页
第七章 WWW安全性
7.1 HTTP协议及 WWW服务
7.1.1 HTTP协议及其安全性
7.1.2 Web的访问控制
7.1.3 安全超文本传输协议 S-HTTP
7.1.5 安全套接层 SSL
7.1.6 缓存的安全性
返回本章首页
第七章 WWW安全性
7.1.1 HTTP协议及其安全性
HTTP协议( Hypertext Transfer Protocol,超文本
传输协议)是分布式的 Web应用的核心技术协议,在
TCP/IP协议栈中属于应用层。它定义了 Web浏览器
向 Web服务器发送 Web页面请求的格式,以及 Web页
面在 Internet上的传输方式。
HTTP协议允许远程用户对远程服务器的通信请求,
这会危及 Web服务器和客户的安全
HTTP的另一个安全漏洞就是服务器日志。
返回本节
第七章 WWW安全性
7.1.2 Web的访问控制
IP地址并不能得到解析,因为客户机本地名字服务器配置可能不正
确,这个时候 HTTP服务器就伪造一个域名继续工作。 一旦 Web服
务器获得 IP地址及相应客户的域名,便开始进行验证,来决定客户
是否有权访问请求的文档。这其中隐含着安全漏洞。
可用一些方法来增强服务器的安全性
返回本节
第七章 WWW安全性
7.1.3 安全超文本传输协议 S-HTTP
S-HTTP( Secure Hyper Text Transfer Protocol)是保护
Internet上所传输的敏感信息的安全协议。随着 Internet和 Web
对身份验证的需求的日益增长,用户在彼此收发加密文件之前需
要身份验证。 S-HTTP协议也考虑了这种需要。
S-HTTP的目标是保证蓬勃发展的商业交易的传输安全,因而推
动了电子商务的发展。 S-HTTP使 Web客户和服务器均处于安全
保护之下,其信息交换也是安全的。
返回本节
第七章 WWW安全性
7.1.5 安全套接层 SSL
SSL( Secure Sockets Layer) 是 Netscape公司设计和开发的,
其目的在于提高应用层协议 ( 如 HTTP,Telnet,NNTP,FTP等 )
的安全性 。 SSL协议的功能包括:数据加密, 服务器验证, 信息完
整性以及可选的客户 TCP/IP连接验证 。 SSL的主要目的是增强通
信应用程序之间的保密性和可靠性 。
SSL是两层协议, 它依赖了一些可靠的传输协议
SSL不同于 S-HTTP之处在于后者是 HTTP的超集, 只限于 Web
SSL 可以使用各种类型的加密算法和密钥验证机制
安全方案不仅仅只有 SSL和 S-HTIP
返回本节
第七章 WWW安全性
7.1.6 缓存的安全性
缓存通过在本地磁盘中存储高频请求文件, 从而大大提高
Web服务的性能 。 不过, 如果远程服务器上的文件更新了,
用户从缓存中检索到的文件就有可能过时 。 而且, 由于这些文
件可由远程用户取得, 因而可能暴露一些公众或外部用户不能
读取的信息 。
HTTP服务器通过将远程服务器上文件的日期与本地缓存的
文件日期进行比较可以解决这个问题 。
返回本节
第七章 WWW安全性
7.2 WWW服务器的安全性
7.2.1 WWW服务器的安全漏洞
7.2.2通用网关接口 (CGI)的安全性
7.2.3 Plug-in的安全性
7.2.4 Java与 JavaScript的安全性
7.2.5 Cookies的安全性
7.2.6 ActiveX的安全性
返回本章首页
第七章 WWW安全性
7.2.1 WWW服务器的安全漏洞
1,NCSA服务器的安全漏洞
2,Apache WWW服务器的安全问题
3,Netscape的 WWW服务器的安全问题
返回本节
第七章 WWW安全性
7.2.2通用网关接口 (CGI)的安全性
公共网关接口( CGI)提供了扩展 Web页面功能的最灵活的
方法。客户方 CGI的编程用 HTML标记,让窗口捕获用户的
输入,并把它传到服务器方的应用程序,服务器方的 CGI把
这些信息传递给应用程序,由它返回给客户系统更新的
Web页面和其他信息。
1,CGI程序的编写应注意的问题
2,CGI脚本的激活方式
3.不要依赖于隐藏变量的值
4,CGI的权限问题
返回本节
第七章 WWW安全性
7.2.3 Plug-in的安全性
把任何一个命令行 shell,解释器, 宏处理器或脚本语言处
理器作为一种文档类型的阅读器, 都会受到 Web上的攻击 。
不要为任何可能包含可执行语句的文件声明任何外部阅读
器 。 Java和安全 Tcl这些脚本语言会检测到这个安全问题:它
们可以防止那些危险的功能 。
返回本节
第七章 WWW安全性
7.2.4 Java与 JavaScript的安全性
尽管名字上很相似, 但 Java与 JavaScript之间毫无瓜葛 。
Java是 Sun公司设计的一种语言 。 用 Java编写的代码编译
成一种紧凑的格式并存在连接的服务器端 。 JavaScript是
Netscape公司设计的一系列 HTML语言扩展, 它增强了
HTML语言的动态交互能力, 并且可以把部分处理移到客户
机, 减轻服务器的负载 。
1.Java applet的安全性的问题
2.JavaScript的安全性问题
返回本节
第七章 WWW安全性
7.2.5 Cookies的安全性
Cookie是 Netscape公司开发的一种机制。用来改善 HTTP协
议的无状态性。 Cookie是一段很小的信息,通常只有一个短
短的章节标记那么大。它是在浏览器第一次连接时由 HTTP服
务器送到浏览器的。以后,浏览器每次连接都把这个 Cookie的
一个拷贝返回给服务器。
Cookie不能用来偷关于用户或用户的计算机系统的信息。但
是大多数的 Cookie是试图改善 Web浏览体验的良性尝试,而
不是侵犯隐私。
返回本节
第七章 WWW安全性
7.2.6 ActiveX的安全性
ActiveX是 Microsoft 公司开发的用来在 Internet上分发软件的
产品 。 ActiveX控件有许多是为 Microsoft Internet Explorer(目前
唯一支持它们的浏览器 )而做的,ActiveX的安全模型与 Java applet
有很大不同 。
ActiveX的授权过程保证 ActiveX不能被匿名分发, 并且控件在公
布以后不会被第三者修改 。
ActiveX可以从 Microsoft Internet Explorer的选项菜单里完全
关闭 。 只要找到活跃内容一项并选择最安全选项即可实现关闭 。
返回本节
第七章 WWW安全性
7.3 Web欺骗
7.3,1 Web攻击的行为和特点
7.3,2 攻击的原理和过程
返回本章首页
第七章 WWW安全性
7.3,1 Web攻击的行为和特点
Web欺骗是指攻击者建立一个使人相信的, Web页站点的拷贝,
这个假的 Web站点拷贝就像真的一样:它具有所有的页面和连接。然
而攻击者控制了这个假的 Web页,被攻击对象和真的 Web站点之间
的所有信息流动都被攻击者所控制了。
攻击者可以监视和控制整个过程
1.静态地观察
2.实施破坏
3.攻击的简单性
返回本节
第七章 WWW安全性
7.3,2 攻击的原理和过程
攻击的关键在于攻击者的 Web服务器能够插在浏览者和其他的 Web
之间
1,改写 URL
2,开始攻击
3,制造假象
攻击者的伪 Web服务器
Web服务器 受骗用户
返回本节
第七章 WWW安全性
7.4 WWW客户安全性
7.4.1防范恶意代码
7.4.2 隐私侵犯
返回本章首页
第七章 WWW安全性
1.几种清除恶意代码的方法
(1)解开被禁用的注册表
(2)解决 IE属性主页不能修改
(3) 修改 IE的标题栏
(4)IE默认连接首页的修改
(5) 右键菜单中的网页广告
7.4.1防范恶意代码
2.采取防范措施,杜绝恶意代码
( 1) 管住自己
( 2) 禁用 ActiveX插件、控件和
Java脚本
( 3) 安装防病毒软件
( 4) 注册表加锁
( 5) 对 Win2000用户,禁用远程
注册表操作服务
( 6)升级 IE为 IE6.0以上版本
( 7)下载微软最新的
Microsoft Windows Script 5.6
( 8) 避免重蹈覆辙
返回本节
第七章 WWW安全性
7.4.2 隐私侵犯
广泛使用的英特网技术已经引起了许多个人隐私方面的问题, 它还会
在将来发展的过程中对个人自由的许多方面带来意想不到的问题 。 涉
及到一个个人隐私权的尊重与保护和公共安全之间的冲突问题 。 需要
指出的是, 并不是在任何时候保护公共安全的需要都应当优先于保护
和尊重个人隐私权的需要 。
1,网上数据搜集的方法
2,网上数据搜集对个人隐私可能造成的侵害
返回本节
第七章 WWW安全性
7.5 增强 WWW的安全性
7.5.1 WWW安全建议
7.5.2 Web保护方法
7.5.3 Web服务器的安全措施
返回本章首页
第七章 WWW安全性
7.5.1 WWW安全建议
尽可能使用一台专用堡垒主机,应仔细配置服务器来控制它访问的东
西;特别要注意某人会设法向系统装载程序,然后通过 HTTP服务器来
执行。
在没有允许内部主机访问所有 TCP端口的情况下,不能允许它们访问
所有 HTTP服务器 。代理 HTTP
使用一个高速缓存代理服务器即可。这样既有利于扩展网络宽度,又
有利于安全。
返回本节
第七章 WWW安全性
7.5.2 Web保护方法
虽然 Web欺骗是危险的和几乎不可察觉的,然而还是可以采用下面的一些方
法进行保护。
1.跟踪攻击者
可以使用网络监听或用 netstat之类的工具找到攻击者所用的服务器
2.短期的解决方法
( 1) 关闭浏览器的 JavaScript,使得攻击者不能隐藏攻击的迹象。
( 2) 确信你的浏览器的地址行总是可见的。
( 3) 留意浏览器地址行上显示的 URL,确信它们一定是指向所想的服务器。
3.长期办法
访问限制方法,IP地址、子网、域的限制 ;用户名和密码 ;加密
返回本节
第七章 WWW安全性
7.5.3 Web服务器的安全措施
限制 IP地址可以提供一定程序的安全性,但并不能阻止黑客攻击站点。
比较理想的方法是,对 IP地址的限制与其他一些验证方法,如检查用户
名和密码等,结合起来。
运行 Web服务器可以采取的一些基本安全手段
( 1) 保证注册账户的时效性。
( 2) 删除死账户。
( 3) 强制用户登录时使用好的密码
( 4) 不要保留不用的服务。
( 5)有不用的 shell或解释程序,则删除它们。
( 6)定期检查系统和 Web记录以发现可疑活动。
( 7) 检查系统文件的权限设置是否正确。
返回本节
第七章 WWW安全性
THANK YOU VERY MUCH !
本章到此结束,
谢谢您的光临!
返回本章首页 结 束放映