返回
网络安全与管理 戚文静 第7章 WWW安全性

网络安全与管理 戚文静 第7章 WWW安全性

ID:40336508

大小:493.50 KB

页数:27页

时间:2019-07-31

网络安全与管理 戚文静 第7章 WWW安全性_第1页
网络安全与管理 戚文静 第7章 WWW安全性_第2页
网络安全与管理 戚文静 第7章 WWW安全性_第3页
网络安全与管理 戚文静 第7章 WWW安全性_第4页
网络安全与管理 戚文静 第7章 WWW安全性_第5页
资源描述:

《网络安全与管理 戚文静 第7章 WWW安全性》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第七章WWW安全性7.1HTTP协议及WWW服务7.2WWW服务器的安全性7.3Web欺骗7.4WWW客户安全性7.5增强WWW的安全性本章学习目标本章本章主要介绍了WWW的有关安全问题。通过本章学习,读者应该掌握以下内容:Web与HTTP协议,HTTP数据包的过滤特性和代理特性,Web的访问控制,HTTP的安全问题,S-HTTP和SSL的简介,缓存的安全性;WWW服务器的安全漏洞;NCSA、Apache、Netscape的安全问题;CGI程序的安全性问题;Plug-in的安全性问题;Java与J

2、avaScript的安全性问题;Cookies的安全性;ActiveX的安全性;Web攻击的行为特点;与Web安全相关的决策;WWW客户安全性;如何增强WWW的安全性;返回本章首页7.1HTTP协议及WWW服务7.1.1HTTP协议及其安全性7.1.2Web的访问控制7.1.3安全超文本传输协议S-HTTP7.1.5安全套接层SSL7.1.6缓存的安全性返回本章首页7.1.1HTTP协议及其安全性HTTP协议(HypertextTransferProtocol,超文本传输协议)是分布式的Web应用

3、的核心技术协议,在TCP/IP协议栈中属于应用层。它定义了Web浏览器向Web服务器发送Web页面请求的格式,以及Web页面在Internet上的传输方式。HTTP协议允许远程用户对远程服务器的通信请求,这会危及Web服务器和客户的安全HTTP的另一个安全漏洞就是服务器日志。返回本节7.1.2Web的访问控制IP地址并不能得到解析,因为客户机本地名字服务器配置可能不正确,这个时候HTTP服务器就伪造一个域名继续工作。一旦Web服务器获得IP地址及相应客户的域名,便开始进行验证,来决定客户是否有权访

4、问请求的文档。这其中隐含着安全漏洞。可用一些方法来增强服务器的安全性返回本节7.1.3安全超文本传输协议S-HTTPS-HTTP(SecureHyperTextTransferProtocol)是保护Internet上所传输的敏感信息的安全协议。随着Internet和Web对身份验证的需求的日益增长,用户在彼此收发加密文件之前需要身份验证。S-HTTP协议也考虑了这种需要。S-HTTP的目标是保证蓬勃发展的商业交易的传输安全,因而推动了电子商务的发展。S-HTTP使Web客户和服务器均处于安全保护

5、之下,其信息交换也是安全的。返回本节7.1.5安全套接层SSLSSL(SecureSocketsLayer)是Netscape公司设计和开发的,其目的在于提高应用层协议(如HTTP,Telnet,NNTP,FTP等)的安全性。SSL协议的功能包括:数据加密、服务器验证、信息完整性以及可选的客户TCP/IP连接验证。SSL的主要目的是增强通信应用程序之间的保密性和可靠性。SSL是两层协议,它依赖了一些可靠的传输协议SSL不同于S-HTTP之处在于后者是HTTP的超集,只限于WebSSL可以使用各种类

6、型的加密算法和密钥验证机制安全方案不仅仅只有SSL和S-HTIP返回本节7.1.6缓存的安全性缓存通过在本地磁盘中存储高频请求文件,从而大大提高Web服务的性能。不过,如果远程服务器上的文件更新了,用户从缓存中检索到的文件就有可能过时。而且,由于这些文件可由远程用户取得,因而可能暴露一些公众或外部用户不能读取的信息。HTTP服务器通过将远程服务器上文件的日期与本地缓存的文件日期进行比较可以解决这个问题。返回本节7.2WWW服务器的安全性7.2.1WWW服务器的安全漏洞7.2.2通用网关接口(CGI

7、)的安全性7.2.3Plug-in的安全性7.2.4Java与JavaScript的安全性7.2.5Cookies的安全性7.2.6ActiveX的安全性返回本章首页7.2.1WWW服务器的安全漏洞1.NCSA服务器的安全漏洞2.ApacheWWW服务器的安全问题3.Netscape的WWW服务器的安全问题返回本节7.2.2通用网关接口(CGI)的安全性公共网关接口(CGI)提供了扩展Web页面功能的最灵活的方法。客户方CGI的编程用HTML标记,让窗口捕获用户的输入,并把它传到服务器方的应用程序

8、,服务器方的CGI把这些信息传递给应用程序,由它返回给客户系统更新的Web页面和其他信息。1.CGI程序的编写应注意的问题2.CGI脚本的激活方式3.不要依赖于隐藏变量的值4.CGI的权限问题返回本节7.2.3Plug-in的安全性把任何一个命令行shell、解释器、宏处理器或脚本语言处理器作为一种文档类型的阅读器,都会受到Web上的攻击。不要为任何可能包含可执行语句的文件声明任何外部阅读器。Java和安全Tcl这些脚本语言会检测到这个安全问题:它们可以防止那些危险的功能。返回本节

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。