chapter7web的安全性

《chapter7web的安全性》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、主要内容Web的安全性概述Web服务器的安全(IIS)脚本语言的安全性CGI程序的安全性VBScript语言的安全性JavaScript语言的安全性Web浏览器的安全(IE)Web站点安全概述Web站点的五种主要安全问题1）未经授权的存取动作。2）窃取系统的信息。3）破坏系统。4）非法使用。5）病毒破坏。（1）网络系统的安全漏洞（2）操作系统类安全漏洞（3）应用系统的安全漏洞（IIS）（4）脚本的安全漏洞（5）其他安全漏洞返回本节影响Web站点安全的因素什么样的平台对Web服务器来说更安全？1Win

2、dows+IIS2Unix+Apache3solaris4Linux+Apache（Tomcat）每一个不同的平台都有其不同的安全含意，但是不能彼此比较安全性。尽管你应该注意每个操作系统的安全性，但是这不应该成为你选择平台的主要标准。操作系统的选择选择一个安全的Web服务器在增强服务器的安全性时，应该有三个目的：A.配置你的程序使它只能提供你指定的服务。B.不到必要的时候不暴露任何信息。C.如果系统遭到入侵，最大限度地减少损坏IIS的安全1.安装时应注意的安全问题2.用户控制的安全性3.登录认证的安

3、全性4.访问权限控制5.IP地址的控制6.端口安全性的实现7.IP转发的安全性8.SSL安全机制（SSL安全演示实验）MicrosoftIIS5.0在处理以".ida"为扩展名的URL请求时，它会有两种结果。一个可能的结果是服务器回复"URLStringtoolong"的信息；或类似"Cannotfindthespecifiedpath"的信息。另一种可能就是服务器端服务停止，并返回"AccessViolation"信息(即成功的实现了对服务器端的拒绝服务攻击)当远端攻击者发出类似如下的请求时：ht

4、tp://someurl/...[25kbof'.']...ida服务器端会崩溃(导致拒绝服务攻击)或返回该文件不在当前路径的信息问题解决或者建议：大多数情况下，站点很少使用扩展名为".ida"和".idq"的文件，可在ISAPI脚本映射中，将扩展名为".ida"和".idq"的应用程序映射删除。IIS5.0超长URL拒绝服务漏洞通过请求一个不存在的扩展名为idq或ida得文件，IIS会暴露文件在服务器上得物理地址.测试程序：http://someurl/anything.idahttp://s

5、omeurl/lunwen/anything.ida或:http://someurl/anything.idq一个远端用户可以收到类似：'TheIDQd:httpanything.idqcouldnotbefound'的响应。这样的一个响应就会让攻击者获得了Web站点的物理路径，并且还可以获得更多的有关该站点在服务器上的组织与结构。请求不存在的扩展名为idq或ida文件什么CGI--CommonGatewayInterface一种基于浏览器的输入、在Web服务器上运行的程序方法。CGI脚本使你

6、的浏览器与用户能交互，为了在数据库中寻找一个名词，提供你写入的评论，或者从一个表单中选择几个条目并且能得到一个明确的回答。如果你曾经遇到过在web上填表或进行搜索,你就是用的CGI脚本。网络服务器开放的构造允许任意的CGI脚本可在对远程服务请求有应答服务器上执行。安装在你的网站上任何CGI脚本都含有漏洞，每一个这样的漏洞都是一个潜在的安全漏洞。CGI语言，如Perl，Php，C，VC++等都可以称为CGI语言CGI安全一是Web服务器的安全。1.Web服务器软件编制中的BUG。2.服务器配置错误。这

7、可能导致CGI源代码泄露。一是CGI语言的安全。ASP安全1、ASP源代码的泄漏2、密码验证时的漏洞3、数据类型判断上的漏洞4、来自filesystemobject的威胁5、ASP.NET编程时的漏洞Web浏览器的安全----浏览器本身的漏洞缓冲区溢出漏洞递归Frames漏洞快捷方式漏洞重定向漏洞ActiveX的安全性ActiveX的安全漏洞IE浏览器中ActiveX设置Cookie的安全性Cookie的设置