返回
第5章应用系统安全基础

第5章应用系统安全基础

ID:5342673

大小:1.47 MB

页数:97页

时间:2017-12-08

第5章应用系统安全基础_第1页
第5章应用系统安全基础_第2页
第5章应用系统安全基础_第3页
第5章应用系统安全基础_第4页
第5章应用系统安全基础_第5页
资源描述:

《第5章应用系统安全基础》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、第5章应用系统安全基础5.1Web安全5.1.1Web安全威胁5.1.1.1概念从某种程序上说,没有Web就没有Internet。然而Web应用程序及Web站点往往很容易遭受各种各样的入侵,Web数据在网络传输过程中也很容易被窃取或盗用。因此如何能够使Web及数据传输更加安全,就显得尤为重要。如今,Web业务平台已经在电子商务、企业信息化中得到广泛应用,很多企业都将应用架设在Web平台上,Web业务的迅速发展也引起了黑客们的强烈关注,他们将注意力从以往对传统网络服务器的攻击逐步转移到了对Web业务的攻击上。黑客利用网站操作系统的漏洞和WEB服务程序的SQL注入漏洞等得到Web服务

2、器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。Web威胁的目标定位有多个维度:有个人、公司、还有某种行业,都有其考虑,甚至国家、地区、性别、种族、宗教等也成为发动攻击的原因或动机。攻击还会采用多种形态,甚至是复合形态,比如病毒、蠕虫、特洛伊、间谍软件、僵尸、网络钓鱼电子邮件、漏洞利用、下载程序、社会工程、rootkit、黑客,结果都可以导致用户信息受到危害,或者导致用户所需的服务被拒绝和劫持。从其来源说Web威胁还可以分为内部攻击和外部攻击两类。前者主要来自信任网络,可能是用户执行了未授权访问或是无意中定制了恶意

3、攻击;后者主要是由于网络漏洞被利用或者用户受到恶意程序制定者的专一攻击。5.1.1.2分类现在的黑客日益聪明,前一段时间的“艳照门”事件和抗震救灾期间的“救灾视频”,都有黑客们的手脚在里面,他们往往用一些令人感兴趣的东西来吸引受害者,所谓愿者上钩。殊不知,这些表面的东西往往包含着恶意软件,甚至rootkit程序。根据赛门铁克的调查,以下这些可谓最具危险性的Web威胁。(1)可信任站点的漏洞我们都有这样的看法,大的知名网站是相对安全的。黑客们也知道这一点,他们会第5章应用系统安全基础519想方设法修改这些网站的网页,将用户的浏览器重新导向到其精心打造的恶意站点,这个恶意站点看起来还

4、是非常可信的。但在用户向其中输入个人信息时,这些站点就会窃取你的信息,有的还会在你的系统上种上点东西(如间谍软件等),或者破坏你的邮件地址簿,肆意传播垃圾邮件等。(2)浏览器和浏览器插件的漏洞前几天我们看到一些安全专家建议不要使用IE浏览器。其实其他的浏览器也并非无懈可击,只是漏洞暂时还不太多或者说是攻击者对其关注的程度还不够高而已。不管哪种浏览器,攻击者都可以利用其漏洞或其插件的漏洞将恶意软件下载并安装到用户计算机上,或者将用户指引到一个恶意站点。(3)终端用户许多攻击者都是从终端用户下手的。许多企业面临的威胁主要是由于其针对笔记本电脑、桌面系统、服务器、未受保护的移动设备的安

5、全策略不健全造成的。如空口令、关闭防火墙等都是具体表现。(4)可移动的存储设备由于U盘、移动硬盘、MP3、MP4等设备的快速流行和使用,恶意软件也可以轻易地从外部的设备传输到网络系统中。此外,插到iPod中的插件也可以成为窃取系统数据的重要媒介。(5)网络钓鱼网络骗子伪造冒似金融网站的虚假站点欺骗消费者。它们还能够以金融公司作为其伪装,在电子邮件中诱骗消费者输入其个人机密信息。(6)僵尸网络攻击者通过隐藏的程序控制大量的计算机系统并执行多任务,如发送垃圾邮件和发动拒绝服务攻击等。(7)键盘记录程序黑客在用户的系统上安装可以记录用户击键的程序,并将记录的结果秘密地通过电子邮件发送到

6、黑客的邮箱。(8)多重攻击黑客使出“组合拳”,即将多种战术结合在一起(如综合运用键盘记录程序、僵尸网络、钓鱼等手段)来窃取用户的敏感信息。此外,攻击者还可以通过间谍软件窃取个人的机密信息,并能够通过垃圾邮件传播病毒、间谍软件、木马等。以上这些威胁并不代表全部,现在的Web威胁日益体现出综合化,并向纵深发展。以前攻击者主要利用操作系统漏洞,现在对应用软件的漏洞越来越感兴趣;以前的SQL攻击可以检测,现在却越来越难;以前黑客们控制一两台计算机,现在可以通过一个网站攻击其他网站,并感染用户,进而构建僵尸网络,借以发动分布式拒绝服务攻击(DDoS)。因此任何企业都应当重视防范措施的多样性

7、和多重性,不要依赖单纯的一种520信息安全工程师教程技术。5.1.2Web威胁防护技术5.1.2.1WEB访问安全1.Web访问控制技术访问控制是Web站点安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法访问者访问。访问Web站点要进行用户名、用户口令的识别与验证、用户账号的缺省限制检查。只要其中任何一关未过,该用户便不能进人某站点进行访问。Web服务器一般提供了如下三种类型的访问控制方法。(1)通过IP地址、子网或域名来进行控制只有当浏览器的连接请求是从某个IP地址

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。