【文档说明】第7章WWW安全性61.pptx，共(62)页，167.092 KB，由精品优选上传

转载请保留链接：https://www.ichengzhen.cn/view-287843.html

以下为本文档部分文字说明：

7.1HTTP协议及WWW服务7.2WWW服务器的安全性7.3Web欺骗7.4WWW客户安全性7.5增强WWW的安全性7.1.1HTTP协议及其安全性7.1.2Web的访问控制7.1.3安全超文本传输协议S-HTTP7.1.5安全套接层SSL7.1.6缓存的安全性7.1.1HTTP协议及其安全性

◼HTTP协议◼通用的、无状态的协议。◼分布式Web应用的核心技术协议，在TCP/IP协议栈中属于应用层。◼定义了Web浏览器向Web服务器发送Web页面请求的格式，以及Web页面在Internet上的传输方式。◼通信发生在TCP/IP连接上，默认端口为80。◼HTTP的两个安全漏洞：◼HTTP协

议允许远程用户对服务器的通信请求，并允许用户在远程执行命令——危及Web服务器和客户的安全A随意的远程请求验证B随意的WEB服务器验证C滥用服务器资源◼服务器日志，Web服务器会记录用户访问信息，但是对其检索未加限制，泄露用户信息。

7.1.2Web的访问控制客户服务器IP地址服务器DNS域名建立连接建立连接发送反向地址解析◼对于不正确IP地址，Web服务器就伪造一个域名继续工作。一旦Web服务器获得IP地址及相应客户的域名，便开始进行验证，来决定客户是否有权访问请求的文档。这其

中隐含着安全漏洞：◼服务器伪造域名，可能把信息发给其他用户◼电子客户对服务器存在威胁增强服务器安全性的措施◼仔细配置服务器，有效利用访问控制◼以非特权用户运行WEB服务器◼在WINDOWS2000上，检查共享的权

限，最好设置为只读。◼进行服务器镜像，敏感文件放在主系统上，辅系统不放敏感文件，并向INTERNET开放。◼作好最坏打算。◼检查APPLET、脚本程序、CGI程序有无漏洞◼在WINDOWS2000上运行WEB服务器比

在UNIX上安全。镜像◼冗余的一种类型◼一个磁盘上的数据在另一个磁盘上存在一个完全相同的副本即为镜像。镜像技术◼集群技术的一种。◼是将建立在同一个局域网之上的两台服务器通过软件或其他特殊的网络设备，将两台服务器的硬盘做镜像。◼其中，一台服务器被指定为主服务器，另一台为从服务器。客户只

能对主服务器上的镜像的卷进行读写，从服务器上相应的卷被锁定以防对数据的存取。◼当主服务器因故障停机时，从服务器将在很短的时间内接管主服务器的应用。7.1.3安全超文本传输协议S-HTTP◼S-HTTP◼保护Internet上所传输

的敏感信息的安全协议。◼随着Internet和Web对身份验证的需求的日益增长，用户在彼此收发加密文件之前需要身份验证。◼S-HTTP的目标是保证商业交易的传输安全，因而推动了电子商务的发展。◼S-HTTP使Web客户和服务器均处于

安全保护之下，其文件交换是加密（签名）的。◼对多种单向散列(Hash)函数的支持，如:MD2，MD5及SHA;◼对多种对称加密体制的支持，如：DES，RC2，RC4，CDMF;◼对数字签名体制的支持，如:RSA，DSS。S-HTTP协议7.1.5安全套接层SSL◼Netscape

公司开发的Internet数据安全协议。◼位于TCP/IP协议与各种应用层协议之间，提高应用层协议（如HTTP，Telnet，NNTP，FTP等）的安全性。◼广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输。

◼SSL协议分为两层：SSL握手协议和SSL记录协议。SSL协议与TCP/IP协议间的关系如图：HTTPS、FTPS、TELNETS、IMAPSSSL握手协议SSL记录协议TCP传输控制协议IP因特网协议7.1.

5安全套接层SSL◼SSL记录协议（SSLRecordProtocol）它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持◼SSL握手协议（SSLHandshakeProtocol）它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行

身份认证、协商加密算法、交换加密密钥等。7.1.5安全套接层SSL◼SSL协议的功能包括：数据加密、服务器验证、信息完整性以及可选的客户TCP/IP连接验证。◼SSL的主要目的是增强通信应用程序之间的保密性和可靠性。7.1.5安全套接层SSL

◼SSL由NETSCAPE开发，S-HTTP由NCSA开发。◼SSL是一个通过套接层对客户和服务器之间的通信事务进行安全处理的协议，适用于所有TCP/IP应用；S-HTTP是HTTP的超集，只限于Web的使用。◼SSL支持数据加密、来源验证和数据的完整性，以保护在不安全的公共网络上

交换的数据。7.1.5SSL与S-HTTP7.1.6缓存的安全性◼缓存通过在本地磁盘中存储高频请求文件，从而提高Web服务的性能。◼安全缺陷1.如果远程服务器上的文件更新了，用户从缓存中检索到的文件就有可能过时2.由

于这些文件可由远程用户取得，因而可能暴露一些公众或外部用户不能读取的信息◼解决方法Web服务器将远程服务器上文件的日期与本地缓存的文件日期进行比较7.2.1WWW服务器的安全漏洞7.2.2通用网关接口(CGI)的安全性7.2.3Plug-in的安全性7.2.4Ja

va与JavaScript的安全性7.2.5Cookies的安全性7.2.6ActiveX的安全性◼NCSA(美国国家超级计算应用中心)服务器的安全漏洞：缓冲区溢出（长URL）◼ApacheWWW服务器的安全漏洞：◼使用mod_cookies模块时，存在

系统堆栈溢出（长cookie）,潜在允许执行任意命令。◼自动目录列表（看到首页，和目录列表）◼Netscape的WWW服务器的安全漏洞：◼40位密钥加密机制不安全（被破解）◼随机数发生器生成的随机数(密钥)的分布不是很随机7.2

.2通用网关接口的安全性◼CGI提供了扩展Web页面功能的最灵活的方法。◼客户方CGI的编程用HTML语言，让窗口捕获用户的输入，并把它传到服务器方的应用程序，服务器方的CGI把这些信息传递给数据库DB，由它返回给客户系统更新的Web

页面和其他信息。Web浏览器Web服务器CGIDBHTTP以Form向S请求返回查询结果CGI应用程序，请求启动子进程，请求返回查询结果用HTTP协议返回查询结果◼CGI编程时使用绝对路径。◼CGI脚本可以在任何地方以表格

或URL激活，因此要对输入参数进行检查。◼不要依赖于隐藏变量的值，因为可以通过查看源代码看到。◼控制CGI程序的权限。7.2.3Plug-in的安全性◼把任何一个命令行shell、解释器、宏处理器或脚本语言处理器作为一种文档类型的阅读器，都会受到Web上的攻击。◼不要为包含可执行语句的文件声

明任何外部阅读器。Java和安全Tcl这些脚本语言会检测到这个安全问题，它们可以防止那些危险的功能。7.2.4Java与JavaScript的安全性◼Java是由Sun公司设计的一种编程语言。用Java编写的代码编译成一种紧凑的格式并存在连接的服务器端。◼JavaS

cript是由Netscape的LiveScript发展而来的脚本语言，它提高与Java的兼容性。JavaScript采用HTML页作为其接口，增强了HTML语言的动态交互能力，并且可以下载客户机执行，减轻服务器的负载。◼Javaapplet的安全性的问题在客户机运行，只允许

读或写指定目录。◼JavaScript的安全性问题将用户的文件上传到因特网上的主机。监视用户某段时间访问的网页触发NETSCAPENAVIGATOR发送邮件，从而获取用户的邮件地址。7.2.5Cookies的安全性◼Cookie是

HTTP协议下的一种方法，通过该方法，服务器或脚本能够在客户工作站上维护状态或状态信息。◼Cookie是一段很小的信息，通常只有一个短短的章节标记那么大。◼在浏览器第一次连接时，由HTTP服务器送到浏览器。以后，浏览器

每次连接都把这个Cookie的一个拷贝返回给服务器。◼Cookie不能用来窃取关于用户或用户计算机系统的信息。◼但是用户浏览器在Web节点上的每次访问都留下：计算机名、IP地址、之前所访问的URL等信息，在Internet上产生轻微的痕迹。◼Cookie可以帮助攻击者快速找到目标主机的相

关信息。7.2.6ActiveX的安全性◼ActiveX是Microsoft公司开发的用来在Internet上分发软件的产品。◼ActiveX是一套与语言无关的内部操作技术。它使得采用不同语言编写的软件组件能够在网络环境中一起工作。ActiveX的核心技术元件是COM和DCOM。◼Ac

tiveX的授权过程保证ActiveX不能被匿名分发，并且控件在公布以后不会被第三者修改。◼ActiveX可以从MicrosoftInternetExplorer的选项菜单里完全关闭。只要找到活跃内容一项并选择最安全选项即可实现关闭。7.3Web欺骗7.3.1Web攻击的行为和

特点7.3.2攻击的原理和过程7.3.1Web攻击的行为和特点◼Web欺骗——是指攻击者建立一个使人相信的、Web页站点的拷贝，这个假的Web站点拷贝就像真的一样，具有所有的页面和连接。◼然而，攻击者控制了这个假的Web站点，被攻击对象和真的Web站点之间的所有信息流动都被

攻击者所控制。7.3.2攻击的原理和过程◼改写URL后，攻击者的Web服务器能够插在受骗用户的浏览者和真正的Web站点之间攻击者的伪Web服务器Web服务器受骗用户（3）开始攻击◼诱惑被攻击者连接到攻击者的假Web页面上1.把一个指向假Web页面的连接放到流行的Web页面上2.邮寄一个指向假Web

页面的指针3.诱惑Web搜索引擎指向一个假的Web页面4.邮寄给用户一页假的Web内容被骗客户浏览假冒的WEB站点的连接：◼攻击服务器从真正的服务器处获取到真正的文档后，即改写其所有的URL◼攻击者将改写

后的文档提供给浏览者◼浏览者即陷入了攻击者的假Web中◼用户此时所填写的表格内容具有不安全性◼安全连接只能检测连接的安全性，无法检测出用户与之相连的站点本身是否是安全的◼制造假象在浏览器上，用户可以获取一些信息：◼状态行◼鼠标移到Web链上时，状态行中显示该链

所指向的URL◼在传输一个Web页时，状态行会显示当前正在连接的服务器名黑客可以使用JavaScript程序改写状态行◼地址行浏览器的地址行显示当前页面的URL。黑客可用JavaScript程序隐藏、改写状态行◼查看文档源浏览器的查看源文件选项，使用户可以查看当前显示页面的HTML

源代码。黑客可用JavaScript程序隐藏、改写浏览器菜单◼查看文档信息浏览器的查看文档信息选项，使用户可查看显示文档的URL信息。黑客可用JavaScript程序隐藏、改写浏览器菜单7.4.1防范恶意代码7.4.2隐私

侵犯7.4.1防范恶意代码几种清除恶意代码的方法1、解开被禁用的注册表◼编辑“解开注册表.reg”，内容如下：◼WindowsRegistryEditorVersion5.00[HKEY_CURRENT_USER

\Software\Microsoft\Windows\CurrentVersion\Policies\System]“DisableRegistryTools”=dword:00000000值为“1”，

则禁用注册表编辑器Regedit.exe。◼开始=〉运行=〉gpedit.msc=>回车=〉组策略=〉用户配置=〉管理模块=〉系统=〉双击右侧窗口的“阻止访问注册表工具“选择“已禁用”单击“确定”2、解决IE属性主页不能修改HKEY_CURRENT_USERS\.DEFAULT\Softwar

e\Policies\Microsoft\InternetExplorer\ControlPanel下,将“homepage”的键值由原来的“1”修改为“0”即可,或干脆将“ControlPanel”删除。3、修改IE的标题栏HKEY_LOCAL_MACHINE\Software\Microsof

t\InternetExplorer\MainHKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main在注册表中找到以上两处...将其下的“WindowTitle”主键删除，或将其值改为Micros

oftInternetExplorer即可。4、IE默认连接首页的修改修改“StartPage”的键值，来修改浏览者IE默认首页：①展开注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main下，在右半部分窗口

中找到串值“StartPage”双击，将StartPage的键值改为“about:blank”即可；②同理，展开注册表到HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main在右半部

分窗口中找到串值“StartPage”，然后按①中所述方法处理。③退出注册表编辑器，重新启动计算机，一切OK了！特殊例子：当IE的起始页变成了某些网址后，就算你通过选项设置修改好了，重启以后又会变成他们的网址，十分的难缠，其实你机器里有一个自运行程

序，它会在系统启动时将你的IE起始页设成他们的网站。解决办法：运行regedit.exe，然后依次展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curren

tVersion\Run主键，然后将其下的registry.exe子键删除，然后删除自运行程序c:\ProgramFiles\registry.exe，最后从IE选项中重新设置起始页。5、右键菜单中的网页广告◼将注册表展开到HKEY_CURR

ENT_USER\Software\Microsoft\InternetExplorer\MenuExt。◼在IE中显示的附加右键菜单都在这里设置,如：“网络蚂蚁”和“网际快车”，找到显示广告的主键条目删除即可。6.IE工具栏（

菜单）被添加网站链接Flashget、ICQ、某些恶意网站会向IE的工具栏（菜单）中添加它们的快捷方式。清除方法：HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Extensions找到形同“{XXXXXXXX-XXXX-X

XXX-XXXX-XXXXXXXXXXXX}”的子键，将包含恶意网站链接的那个子键删除即可。另外，如果在HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Extensions\CmdMapping下有和您删

除的形同{X......X}一样键值的值项，也请将它删除。加强防范1、不要轻易去一些自己并不了解的站点，特别是那些看上去美丽诱人的网址更不要贸然前往。2、由于该类网页是含有有害代码的ActiveX网页文件，因此在IE设置中将ActiveX插件和控件、Java脚本等

全部禁止就可以避免中招。具体方法是：在IE窗口中点击“工具→Internet选项”，在弹出的对话框中选择“安全”标签，再点击［自定义级别］按钮，就会弹出“安全设置”对话框，把其中所有ActiveX插件和控件以及Java相关全部选择“禁用”即可

。不过，这样做在以后的网页浏览过程中可能会造成一些正常使用ActiveX的网站无法浏览。3、建议安装带ScriptBlocking功能的杀毒软件，如NortonAntiVirus2002V8.0、Kaspersky等，它将对此类恶作剧进行监控，并予以拦截。4、禁止修改注册表，达

到预防的目的。HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下，新建一个名为DisableRegistryTools的DWORD值，并将其值改为“1”，即可禁止使用注册表编辑器Reged

it.exe。5、对Windows2000/XP用户，还可以通过在服务里面的远程注册表操作服务“RemoteRegistryService”禁用，来对付该类网页。具体方法是：点击“管理工具→服务→RemoteRegistrySe

rvice(允许远程注册表操作)”，将这一项禁用即可。6、升级你的IE为6.0版本，可以有效防范上面这些症状。7、下载微软最新的MicrosoftWindowsScript5.6，可以预防上面所说的现象，更可预防目前流行的、可恶的“混客绝情炸弹”。8、

对于有些网站还会在打开网页的时候自动安装插件或下载文件，一定要看清楚，不要随便点确定。有时即使你不确定也会中招的。如当前很流行的QQ病毒就是这样传播的。9、避免重蹈覆辙经过辛苦修改，IE恢复正常，可是一不小心又访问该网站，将前功尽弃。

IE--工具—Internet选项—内容—分级检查-→启用分级检查--→许可站点输入不想去的站点，按“从不”按钮，确定。小结◼采取防范措施，杜绝恶意代码1.管住自己2.禁用ActiveX插件、控件和Java脚本3.安装防病毒

软件4.注册表加锁5.对Win2000用户，禁用远程注册表操作服务6.升级IE为IE6.0以上版本7.下载最新的MicrosoftWindowsScript5.68.避免重蹈覆辙7.4.2隐私侵犯◼因特网技术已经引起了许多个

人隐私方面的问题，它还会在将来发展的过程中对个人自由等许多方面带来意想不到的问题。◼涉及到个人隐私权的尊重与保护和公共安全之间的冲突问题。◼需要指出的是，并不是在任何时候保护公共安全的需要都应当优先于保护和尊重个人隐私权的需要。1．网上数据搜集的方法用户的IP地址，COOKIE个人信息，

ISP的威胁。2．网上数据搜集对个人隐私可能造成的侵害个人隐私成为商品，报复，零碎资料的分析导致非真实的报告的危害。7.5.1WWW安全建议7.5.2Web保护方法7.5.3Web服务器的安全措施◼尽可能使用一台专用堡垒主机，应仔细配置服务器来控制它

访问的东西；特别要注意某人会设法向系统装载程序，然后通过HTTP服务器来执行。◼在没有允许内部主机访问所有TCP端口的情况下，不能允许它们访问所有HTTP服务器。◼使用一个高速缓存代理服务器。这样既有利于扩展网络宽

度，又有利于安全。7.5.2Web保护方法虽然Web欺骗是危险的和几乎不可察觉的，然而还是可以采用下面的一些方法进行保护。1.跟踪攻击者可以使用网络监听或用netstat之类的工具找到攻击者所用的服务器2．短期的解决方法a.关闭浏览器的Ja

vaScript，使得攻击者不能隐藏攻击的迹象。b.确信你的浏览器的地址行总是可见的。c.留意浏览器地址行上显示的URL，确信它们一定是指向所想的服务器。3．长期办法。三种文档、目录访问限制方法：a.IP地址、子网、域的限制；

b.用户名和密码；c.加密7.5.3Web服务器的安全措施◼限制IP地址可以提供一定的安全性，但并不能阻止黑客攻击站点。◼比较理想的方法是，IP地址的限制与其他一些验证方法（如检查用户名和密码等）结合起来。◼运行Web服务器可以采取的一些基本安全手段（1）保证注册账户的时效性（2

）删除死账户（3）强制用户登录时使用好的密码（4）不要保留不用的服务（5）删除不用的shell或解释程序（6）定期检查系统和Web记录以发现可疑活动（7）检查系统文件的权限设置是否正确THANKYOUVERYMUCH！本章到此结束，谢谢！