网络安全原理与应用教学课件戚文静 刘学第9章WWW安全性.ppt

网络安全原理与应用教学课件戚文静 刘学第9章WWW安全性.ppt

ID:50162326

大小:107.00 KB

页数:24页

时间:2020-03-09

网络安全原理与应用教学课件戚文静 刘学第9章WWW安全性.ppt_第1页
网络安全原理与应用教学课件戚文静 刘学第9章WWW安全性.ppt_第2页
网络安全原理与应用教学课件戚文静 刘学第9章WWW安全性.ppt_第3页
网络安全原理与应用教学课件戚文静 刘学第9章WWW安全性.ppt_第4页
网络安全原理与应用教学课件戚文静 刘学第9章WWW安全性.ppt_第5页
资源描述:

《网络安全原理与应用教学课件戚文静 刘学第9章WWW安全性.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第9章WWW安全性章学习目标lWeb服务的安全威胁;lWWW服务器的安全漏洞;l如何对Web服务器进行安全配置;lWWW客户安全性;l如何增强WWW的安全性;lSSL协议及使用9.1WWW服务9.1.1WWW服务WWW基于客户机/服务器模式,其中客户机就是Web浏览器,服务器指的是Web服务器。Web浏览器将请求发送到Web服务器,服务器响应这种请求,将其所请求的页面或文档传送给Web浏览器。返回本章首页9.1.2Web服务面临的安全威胁1.电子欺骗“电子欺骗”是指以未经授权的方式模拟用户或进程。恶意用户还可能更改Cooki

2、e的内容,假装他是其他用户或Cookie来自其他服务器。一般说来,用户可以通过使用严格的身份验证来防止电子欺骗。2.篡改篡改是指在未经授权的情况下更改或删除资源。例如,恶意用户进入站点并更改文件,从而使Web页变得面目全非。进行篡改的间接方法是使用脚本。防止篡改的主要方法是使用Windows安全性锁定文件、目录和其他Windows资源。应用程序还应该以尽可能少的特权运行。返回本节3.否认否认威胁是指隐藏攻击的证据。在Web应用程序中,这可以是模拟无辜用户的凭据。同样,用户可以使用严格的身份验证来防止否认。另外,使用Windo

3、ws的日志记录功能来保存服务器上任何活动的审计追踪。4.信息泄露信息泄露仅指偷窃或泄露应该保密的信息。一个典型的示例是偷窃密码,但它可以涉及对服务器上的任何文件或资源的访问。应该使用身份验证来确保只有经过授权的用户能够访问受限制的信息。还可以对信息进行加密来防止信息泄露。返回本节5.拒绝服务“拒绝服务”攻击是指故意导致应用程序的可用性降低。典型的示例是:让Web应用程序负载过度,使其无法为普通用户服务。IIS允许限制服务请求的数量。用户还可以拒绝已知的恶意用户或IP地址的访问。防止出现故障的问题实际上是运行可靠代码的问题,应

4、该尽可能彻底地测试应用程序并从错误状态完全恢复。6.特权升级特权升级是指使用恶意手段获取比正常分配的权限更多的权限。例如,在一个得逞的特权升级攻击中,恶意用户设法获得Web服务器的管理特权,使他能够随意地进行破坏。若要防止特权升级,尽可能在最少特权的上下文中运行应用程序。例如,建议用户不要以SYSTEM(管理)用户身份运行ASP.NET应用程序。返回本节9.2WWW服务器的安全性9.2.1WWW服务器的安全漏洞9.2.2通用网关接口(CGI)的安全性9.2.3Plug-in的安全性9.2.4Java与JavaScript的安

5、全性9.2.5Cookies的安全性9.2.6ActiveX的安全性返回本章首页9.2.1WWW服务器的安全漏洞1.NCSA服务器的安全漏洞2.ApacheWWW服务器的安全问题3.Netscape的WWW服务器的安全问题返回本节9.2.2通用网关接口(CGI)的安全性公共网关接口(CGI)提供了扩展Web页面功能的最灵活的方法。客户方CGI的编程用HTML标记,让窗口捕获用户的输入,并把它传到服务器方的应用程序,服务器方的CGI把这些信息传递给应用程序,由它返回给客户系统更新的Web页面和其他信息。1.CGI程序的编写应注

6、意的问题2.CGI脚本的激活方式3.不要依赖于隐藏变量的值4.CGI的权限问题返回本节9.2.3Plug-in的安全性把任何一个命令行shell、解释器、宏处理器或脚本语言处理器作为一种文档类型的阅读器,都会受到Web上的攻击。不要为任何可能包含可执行语句的文件声明任何外部阅读器。Java和安全Tcl这些脚本语言会检测到这个安全问题:它们可以防止那些危险的功能。返回本节9.2.4Java与JavaScript的安全性尽管名字上很相似,但Java与JavaScript之间毫无瓜葛。Java是Sun公司设计的一种语言。用Java

7、编写的代码编译成一种紧凑的格式并存在连接的服务器端。JavaScript是Netscape公司设计的一系列HTML语言扩展,它增强了HTML语言的动态交互能力,并且可以把部分处理移到客户机,减轻服务器的负载。1.Javaapplet的安全性的问题2.JavaScript的安全性问题返回本节9.2.5Cookies的安全性Cookie是Netscape公司开发的一种机制。用来改善HTTP协议的无状态性。Cookie是一段很小的信息,通常只有一个短短的章节标记那么大。它是在浏览器第一次连接时由HTTP服务器送到浏览器的。以后,浏

8、览器每次连接都把这个Cookie的一个拷贝返回给服务器。Cookie不能用来偷关于用户或用户的计算机系统的信息。但是大多数的Cookie是试图改善Web浏览体验的良性尝试,而不是侵犯隐私。返回本节9.2.6ActiveX的安全性ActiveX是Microsoft公司开发的用来在Intern

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。