返回
《Web的安全性》PPT课件

《Web的安全性》PPT课件

ID:39365996

大小:414.60 KB

页数:24页

时间:2019-07-01

《Web的安全性》PPT课件_第1页
《Web的安全性》PPT课件_第2页
《Web的安全性》PPT课件_第3页
《Web的安全性》PPT课件_第4页
《Web的安全性》PPT课件_第5页
资源描述:

《《Web的安全性》PPT课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、CH8Web的安全性2本章内容8.2Web服务器的安全性8.3脚本语言的安全性、SQL注入8.4旁注WEB综合检测程序8.5WEB浏览器的安全8.1Web安全性概述3网站被黑案例恶意攻击者针对Paypal发起了攻击,他们将Paypal用户重新引导到另一个恶意网站并警告用户,他们的账户已经失窃。用户们被引导到另一个钓鱼式网站上,然后输入自己的Paypal登录信息、社会保险号和信用卡资料。俄罗斯黑客在2006年1月份利用SQL注入攻击攻破了美国罗得岛政府网站,窃取了大量信用卡资料。澳大利亚的一个税务网站在2000年被一位用户攻破。那位用户只是在网站地址中更改了税务ID账号就获

2、得了1.7万家企业的详细资料。黑客以电子邮件的方式通知了那1.7万家企业,告知它们的数据已经被破解了。4思考一服务器上运行着三种服务。一个是传统等WEB服务;二是FTP服务;三是OA(办公自动化)服务,因为该服务是WEB模式的,互联网上也可以直接访问OA服务器,所以也部署在这台服务器上。由于这台服务器的配置还是比较高的,所以,运行这三个服务来说,没有多少的困难,性能不会有所影响。现在的问题是,如何来保障它们的安全,FTP服务器、OA服务器与Web服务器之间安全上不会相互影响呢?5影响Web安全性的因素主要有以下几个方面。(1)由于Web服务器存在的安全漏洞和复杂性,使得依

3、赖这些服务器的系统经常面临一些无法预测的风险。(2)Web程序员由于工作的失误或程序设计上的漏洞,也可能造成Web系统的安全缺陷。(3)用户通过浏览器和Web站点交互时,由于浏览器本身的安全漏洞,使得非法用户可以通过浏览器攻击Web站点。8.1Web安全性概述68.1.1Internet安全隐患Internet是一个开放的、无控制机构的网络TCP/IP通信协议存在不安全因素网络操作系统中存在的安全脆弱性问题电子邮件存在着被拆看、误投和伪造的可能性病毒的传播78.1.2Web安全问题未经授权的存取窃取系统信息破坏系统非法使用病毒破坏8相对于传统的C/S应用模式,增加了Web

4、服务器作为软件开发和应用平台的优点有:(1)统一的客户界面(2)平台独立性(3)高可靠性、高可扩展性(4)并行性和分布性(5)易用性和通用性8.2Web服务器的安全性8.2.1Web服务器3层模式98.2.2Web服务器存在的漏洞物理路径泄露目录遍历例:http://server.com/scripts/..%5c../Windows/System32/cmd.exe?/c+dir+c:缓冲区溢出拒绝服务条件竞争108.2.3Web服务器的安全设置1.构造一个安全系统(1)使用NTFS文件系统(2)关闭默认共享(3)修改共享权限(4)为系统管理员账号更名(5)禁用TCP

5、/IP上的NetBIOS(6)TCP/IP上对进站连接进行控制(7)修改注册表,减小拒绝服务攻击的风险112.保证IIS自身的安全性(1)IIS安全安装不要将IIS安装在系统分区上。修改IIS的安装默认路径。打上Windows和IIS的最新补丁。(2)用户控制的安全性1)匿名用户安装IIS后将会生成IUSR_Computername匿名用户,其匿名访问给Web服务器带来了很大的安全隐患,必须对它的访问权限进行限制,取消Web的匿名服务。(Demo)122)一般用户对于一般用户,可以通过使用大小写字母和数字相结合的口令,提高密码的安全性,限制失败的登录尝试以及修改账号的生存

6、期等对其进行管理,提高用户的安全性。13(3)IIS的安全配置删除不必要的虚拟目录删除危险的IIS组件为IIS中的文件分类设置权限删除不必要的应用程序映射保护日志安全14CGI(CommonGatewayInterface)即公共网关接口。CGI规范允许Web服务器执行外部程序,并将它们的输出发送给Web浏览器。CGI程序可能以下面两种方式产生安全漏洞。(1)CGI程序可能有意或无意地泄露主机的一些信息。(2)CGI程序在处理远程用户输入时,例如,一个表单的内容或者一个可搜索的索引命令,容易受到远程用户的攻击,用户可以骗取在系统上执行命令的权限。8.3脚本语言的安全性、S

7、QL注入8.3.1CGI程序的安全性15处理步骤:⑴通过Internet把用户请求送到服务器。⑵服务器接收用户请求并交给CGI程序处理。⑶CGI程序把处理结果传送给服务器。⑷服务器把结果送回到用户。168.3.2SQL注入网站程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL注入(SQLInjection)。17现在不少网站被黑并不是因为自身的Web程序存在漏洞,而是黑客通过入侵了与其在同一个虚拟主机

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。