第八讲Web服务的安全性课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《第八讲Web服务的安全性课件.ppt》由用户(三亚风情)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 第八 Web 服务 安全性 课件
- 资源描述:
-
1、2022-6-22计算机网络安全1第八章第八章 Web服务的安全性服务的安全性 Web服务的概念、类型与应用服务的概念、类型与应用Web服务的安全防范及对应的技术措施服务的安全防范及对应的技术措施Web服务中受到的攻击、密码破解的方服务中受到的攻击、密码破解的方法法邮箱系统的管理与安全配置邮箱系统的管理与安全配置本章要点: 2022-6-22计算机网络安全2第八章第八章 Web服务的安全性服务的安全性8.1 8.1 WebWeb服务的安全概述服务的安全概述8.2 8.2 WebWeb服务中的服务中的IEIE安全安全8.3 8.3 WebWeb服务的安全实验服务的安全实验 2022-6-22计算
2、机网络安全38.1 WebWeb服务的安全概述服务的安全概述8.1.1 8.1.1 网络服务概念网络服务概念 WebWeb服务是基于服务是基于HTTPHTTP协议的服务。大多数协议的服务。大多数WebWeb服服务器和浏览器都对务器和浏览器都对HTTPHTTP协议进行了必要的扩展,一协议进行了必要的扩展,一些新的技术接口些新的技术接口CGICGI通用网关程序、通用网关程序、JavaJava小程序、小程序、ActiveXActiveX控件、虚拟现实等,也开始应用于控件、虚拟现实等,也开始应用于WebWeb服务,服务,使使WebWeb文本看上去更生动、形象,信息交互也显得文本看上去更生动、形象,信息
3、交互也显得更加容易。更加容易。 WebWeb服务在方便用户发布信息的同时,也给用服务在方便用户发布信息的同时,也给用户带来了不安全因素。尤其是在标准协议基础之上户带来了不安全因素。尤其是在标准协议基础之上扩展的某些服务,在向用户提供信息交互的同时,扩展的某些服务,在向用户提供信息交互的同时,也使得也使得WebWeb基础又增加了新的不安全因素。基础又增加了新的不安全因素。 2022-6-22计算机网络安全48.1.2 Web Web服务的安全威胁服务的安全威胁WebWeb服务所面临的安全威胁:服务所面临的安全威胁:1)1)机密信息所面临的安全威胁机密信息所面临的安全威胁2)2)WWWWWW服务器
4、和浏览器主机面临的安全威胁服务器和浏览器主机面临的安全威胁 其中,前一种安全威胁是因特网上各种服务其中,前一种安全威胁是因特网上各种服务所共有的,后一种威胁则是由扩展所共有的,后一种威胁则是由扩展WebWeb服务的某服务的某些软件所带来的。这两种安全隐患不是截然分开,些软件所带来的。这两种安全隐患不是截然分开,而是共同存在并相互作用的,尤其是后一种安全而是共同存在并相互作用的,尤其是后一种安全威胁的存在,使得信息保密更加困难。威胁的存在,使得信息保密更加困难。 2022-6-22计算机网络安全58.1.2 Web Web服务的安全威胁服务的安全威胁1. 1. 机密信息的安全威胁机密信息的安全威
5、胁 通过通过WebWeb服务传递信息时,对于机密信息需要服务传递信息时,对于机密信息需要防止搭线窃听,防止外部用户入侵主机。防止搭线窃听,防止外部用户入侵主机。2. 2. 主机面临的威胁主机面临的威胁1) CGI1) CGI程序带来的威胁程序带来的威胁 CGI(CommonCGI(Common Gateway Interface) Gateway Interface)是通用网关是通用网关接口。它在服务器端与接口。它在服务器端与WebWeb服务器相互配合,响应服务器相互配合,响应远程用户的交互性请求。允许用户选择一种语言,远程用户的交互性请求。允许用户选择一种语言,如如C/C+C/C+、VBVB
6、等进行编程,提供服务器端和远程浏等进行编程,提供服务器端和远程浏览器之间的信息交互能力。览器之间的信息交互能力。 2022-6-22计算机网络安全68.1.2 Web Web服务的安全威胁服务的安全威胁 CGI CGI程序是程序是WebWeb安全漏洞的主要来源,其安全安全漏洞的主要来源,其安全漏洞表现为以下几方面:漏洞表现为以下几方面:(1) (1) 泄露主机系统信息,帮助黑客入侵。泄露主机系统信息,帮助黑客入侵。(2) (2) 当服务器处理远程用户输入的某些信息当服务器处理远程用户输入的某些信息( (如如表格表格) )时,易被远程用户攻击。时,易被远程用户攻击。(3) (3) 不规范的第三方
7、不规范的第三方CGICGI程序,或存有恶意的客程序,或存有恶意的客户向户向WebWeb服务器发布的服务器发布的CGICGI程序,将对程序,将对WebWeb服务器服务器造成物理或逻辑上的损坏,甚至将造成物理或逻辑上的损坏,甚至将WebWeb服务器上服务器上的整个硬盘信息复制到因特网的某一台主机上。的整个硬盘信息复制到因特网的某一台主机上。 2022-6-22计算机网络安全78.1.2 Web Web服务的安全威胁服务的安全威胁2) Java2) Java小程序所带来的威胁小程序所带来的威胁 JavaJava是由美国是由美国SunSun公司于公司于19951995年推出的一种年推出的一种跨平台和具
8、有交互能力的计算机程序语言。跨平台和具有交互能力的计算机程序语言。JavaJava小程序为小程序为WebWeb服务提供了相当好的扩展能力,并服务提供了相当好的扩展能力,并为各种通用的浏览器所支持。为各种通用的浏览器所支持。JavaJava小程序由浏览小程序由浏览器进行解释,并在客户端执行,因而把安全风险器进行解释,并在客户端执行,因而把安全风险直接从服务器端转移到了客户端。直接从服务器端转移到了客户端。在在NetScapeNetScape中的中的JavaJava的实现中存在一些特殊的的实现中存在一些特殊的安全漏洞,例如任意执行机器指令的能力,安全漏洞,例如任意执行机器指令的能力,JavaJav
9、a小程序的相互竞争力,与任意的主机建立连接的小程序的相互竞争力,与任意的主机建立连接的能力等。能力等。2022-6-22计算机网络安全88.1.2 Web Web服务的安全威胁服务的安全威胁JavaJava小程序还存在着下述安全漏洞:小程序还存在着下述安全漏洞:(1) (1) 可以欺骗用户,将本地硬盘或连入网络的磁可以欺骗用户,将本地硬盘或连入网络的磁盘上的文件传送到因特网上的任意主机。盘上的文件传送到因特网上的任意主机。(2) (2) 能获得用户本地硬盘和任何网络盘上的目录能获得用户本地硬盘和任何网络盘上的目录列表。列表。(3) (3) 能监视用户在某段时间内访问过的所有网页,能监视用户在某
10、段时间内访问过的所有网页,捕捉并传送到因特网上的任意主机。捕捉并传送到因特网上的任意主机。(4) (4) 能够在未经用户允许的情况下触发能够在未经用户允许的情况下触发NetScapeNetScape或或ExploreExplore发送发送E-mailE-mail。2022-6-22计算机网络安全98.1.2 Web Web服务的安全威胁服务的安全威胁3) ASP3) ASP所带来的威胁所带来的威胁IISIIS提供了利用提供了利用ASPASP动态产生网页的服务。一个动态产生网页的服务。一个ASPASP文件就是一个在文件就是一个在HTMLHTML网页中直接含有程序代网页中直接含有程序代码的文件。回
11、传一个监视文件,会促使码的文件。回传一个监视文件,会促使IISIIS运行运行网页中内嵌的程序代码,然后将运行结果直接回网页中内嵌的程序代码,然后将运行结果直接回送到浏览器上。此外,静态的送到浏览器上。此外,静态的HTMLHTML网页是按其原网页是按其原来的样子回传到浏览器上,而不经过任何解析处来的样子回传到浏览器上,而不经过任何解析处理。理。IEIE是利用文件的扩展名来区别文件的形态。是利用文件的扩展名来区别文件的形态。扩展名为扩展名为.htm.htm或或.html.html的文件属于静态的文件属于静态HTMLHTML文件,文件,扩展名为扩展名为.asp.asp的文件则是一个的文件则是一个Ac
12、tive Server Active Server PagesPages文件。文件。2022-6-22计算机网络安全108.1.2 Web Web服务的安全威胁服务的安全威胁在所有网络安全漏洞里,很容易忽略的一个就在所有网络安全漏洞里,很容易忽略的一个就是未经解析的文件内容或程序代码无意中被显示是未经解析的文件内容或程序代码无意中被显示出来。简单地说,就是使用者能够从网页服务器出来。简单地说,就是使用者能够从网页服务器上骗取动态网页里的程序代码。上骗取动态网页里的程序代码。只需利用一个简单的参数只需利用一个简单的参数($DATA)便可看到便可看到ASP的原始程序。的原始程序。 2022-6-2
13、2计算机网络安全118.1.2 Web Web服务的安全威胁服务的安全威胁4) Cookie4) Cookie所带来的威胁所带来的威胁CookieCookie指的是一个保存在客户机中的简单的文指的是一个保存在客户机中的简单的文本文件,它与特定的本文件,它与特定的WebWeb文档关联在一起,保存文档关联在一起,保存了该客户机访问这个了该客户机访问这个WebWeb文档时的信息,当客户文档时的信息,当客户机再次访问这个机再次访问这个WebWeb文档时这些信息可供该文档文档时这些信息可供该文档使用。使用。由于由于CookieCookie可以保存在客户机上,因此它具有可以保存在客户机上,因此它具有记录用
14、户个人信息的功能,但不必使用复杂的记录用户个人信息的功能,但不必使用复杂的CGICGI等程序实现。等程序实现。 2022-6-22计算机网络安全128.1.2 Web Web服务的安全威胁服务的安全威胁 Cookie在给用户带来方便的同时,也带来了一在给用户带来方便的同时,也带来了一定的安全隐患。对定的安全隐患。对Cookie的限制,有下述方法。的限制,有下述方法。(1) 如果用户使用的浏览器是如果用户使用的浏览器是IE 4.0,可右击执行,可右击执行“属性属性”命令,在弹出的对话框中打开命令,在弹出的对话框中打开“安全安全”选项卡,单击选项卡,单击“自定义级别自定义级别”按钮,在弹出的对按钮
15、,在弹出的对话框中选中话框中选中“禁止所有禁止所有Cookie使用使用”单选按钮即单选按钮即可。可。(2) 如果用户使用的浏览器是如果用户使用的浏览器是IE 5.0,而,而IE 5.0有有本地、可信站点、受限站点等级别之分,所以需本地、可信站点、受限站点等级别之分,所以需要分别进行上述设置。要分别进行上述设置。(3) 另一种简单的方法是把另一种简单的方法是把Cookie文件夹的属性文件夹的属性设为只读。设为只读。 2022-6-22计算机网络安全138.1.2 Web Web服务的安全威胁服务的安全威胁5) ActiveX5) ActiveX控件所带来的威胁控件所带来的威胁ActiveXAct
16、iveX控件真正实现了多语言编程的无缝连控件真正实现了多语言编程的无缝连接,也可以嵌入到接,也可以嵌入到HTMLHTML文本中,形成一定功能的文本中,形成一定功能的程序模块。程序模块。ActiveXActiveX控件被嵌入到控件被嵌入到HTMLHTML页面中,并下载到页面中,并下载到浏览器端加以执行,因此会对浏览器造成一定程浏览器端加以执行,因此会对浏览器造成一定程度的安全威胁。此外,在客户端的浏览器,如度的安全威胁。此外,在客户端的浏览器,如IEIE中插入某些中插入某些ActiveXActiveX控件,也会对服务器端造成控件,也会对服务器端造成意想不到的安全威胁。意想不到的安全威胁。 202
17、2-6-22计算机网络安全148.1.2 Web Web服务的安全威胁服务的安全威胁在下载和使用在下载和使用ActiveXActiveX时有两个危险:一个是时有两个危险:一个是恶意的或没有署名的恶意的或没有署名的ActiveXActiveX控件,另一个是已控件,另一个是已署名但仍是恶意的控件。署名但仍是恶意的控件。采取的最佳措施是在采取的最佳措施是在IEIE的安全设置中将安全设的安全设置中将安全设置为禁止使用任何置为禁止使用任何ActiveXActiveX控件。具体步骤是右控件。具体步骤是右击击IEIE图标执行图标执行“属性属性”命令,在弹出的对话框中命令,在弹出的对话框中打开打开“安全安全”
18、选项卡,单击选项卡,单击“自定义级别自定义级别”按钮,按钮,并在弹出的对话框中选择对并在弹出的对话框中选择对ActiveXActiveX是否禁用,是否禁用,是否提示等。是否提示等。2022-6-22计算机网络安全158.1.3 防御措施防御措施 为了确保为了确保Web服务的安全,通常采用以下几种服务的安全,通常采用以下几种技术措施:技术措施: 在现有的网络上安装防火墙,对需要保护的在现有的网络上安装防火墙,对需要保护的资源建立隔离区;对机密敏感的信息进行加密存资源建立隔离区;对机密敏感的信息进行加密存储和传输;在现有网络协议的基础上,为储和传输;在现有网络协议的基础上,为C/S通通信双方提供身
19、份认证并通过加密手段建立秘密通信双方提供身份认证并通过加密手段建立秘密通道;对没有安全保证的软件实施数字签名,提供道;对没有安全保证的软件实施数字签名,提供审计、追踪手段,确保一旦出现问题可立即根据审计、追踪手段,确保一旦出现问题可立即根据审计日志进行追查等。审计日志进行追查等。2022-6-22计算机网络安全168.1.3 防御措施防御措施1. 1. 安装防火墙安装防火墙为局域网或站点提供隔离保护,是目前普遍采为局域网或站点提供隔离保护,是目前普遍采用的一种安全有效的防御措施,这种方法不仅对用的一种安全有效的防御措施,这种方法不仅对WebWeb服务有效,对其他服务也同样有效。服务有效,对其他
20、服务也同样有效。防火墙是位于内部网络与因特网之间的计算机防火墙是位于内部网络与因特网之间的计算机或网络设备中的一个功能模块,是按照一定的安或网络设备中的一个功能模块,是按照一定的安全策略建立起来的硬件和软件的有机结合体,其全策略建立起来的硬件和软件的有机结合体,其目的是为内部网络或主机提供安全保护,控制可目的是为内部网络或主机提供安全保护,控制可以从外部访问内部受保护的对象,哪个用户可以以从外部访问内部受保护的对象,哪个用户可以从内部网络访问因特网,以及相互之间以哪种方从内部网络访问因特网,以及相互之间以哪种方式进行访问。式进行访问。2022-6-22计算机网络安全178.1.3 防御措施防御
21、措施2. 2. 加密保护加密保护对机密信息进行加密存储和传输是传统而有效的对机密信息进行加密存储和传输是传统而有效的方法,这种方法能够有效地确保机密信息的安全,方法,这种方法能够有效地确保机密信息的安全,并防止搭线窃听和黑客入侵,在基于并防止搭线窃听和黑客入侵,在基于WebWeb服务的一服务的一些网络安全协议中得到了广泛应用。些网络安全协议中得到了广泛应用。在在WWWWWW服务器和浏览器中,如微软公司的服务器和浏览器中,如微软公司的IISIIS服务服务器和器和IEIE浏览器,都可以对信息进行加解密运算,同浏览器,都可以对信息进行加解密运算,同时也留有接口,使用户可以对加解密算法进行重载,时也留
22、有接口,使用户可以对加解密算法进行重载,构造自己的加解密模块。此外,传输加解密也可以构造自己的加解密模块。此外,传输加解密也可以在在IPIP层实现,对进出的所有信息进行加解密,以确层实现,对进出的所有信息进行加解密,以确保网络层的数据安全。保网络层的数据安全。2022-6-22计算机网络安全188.2 WebWeb服务中的服务中的IEIE安全安全一些恶意网站、免费或者共享软件、垃圾邮件,一些恶意网站、免费或者共享软件、垃圾邮件,以诱人图片或点击后有奖为诱饵,欺骗用户点击以诱人图片或点击后有奖为诱饵,欺骗用户点击网页上隐藏的恶意程序,从而修改用户的注册表,网页上隐藏的恶意程序,从而修改用户的注册
23、表,把把IEIE篡改得面目全非。它们经常强行篡改篡改得面目全非。它们经常强行篡改IEIE首页、首页、标题栏等内容,或者将它们的链接强行添加到历标题栏等内容,或者将它们的链接强行添加到历史浏览记录中而且无法删除,甚至使相关按钮变史浏览记录中而且无法删除,甚至使相关按钮变灰,无法修复。灰,无法修复。这种恶意篡改这种恶意篡改IEIE,轻则强迫用户访问某些指定,轻则强迫用户访问某些指定的网站,重则在系统中驻留的网站,重则在系统中驻留木马木马等恶意程序,造等恶意程序,造成系统运行缓慢。成系统运行缓慢。2022-6-22计算机网络安全198.2 WebWeb服务中的服务中的IEIE安全安全 恶意网页是将含
24、有有害代码的恶意网页是将含有有害代码的ActiveXActiveX内嵌在内嵌在网页中,当用户打开含有有害代码的网页时,代网页中,当用户打开含有有害代码的网页时,代码就会产生作用,恶意修改用户的注册表。码就会产生作用,恶意修改用户的注册表。1. IE1. IE默认链接首页被修改默认链接首页被修改IEIE浏览器上方的标题栏被改成浏览器上方的标题栏被改成“欢迎访问欢迎访问”,受害者众多。受到更改的注册表项目为:受害者众多。受到更改的注册表项目为:HKEY_LOCAL_MACHINESoftwareMicrosoftInteHKEY_LOCAL_MACHINESoftwareMicrosoftInte
25、rnet ExploreMainStart Pagernet ExploreMainStart Page;HKEY_CURRENT_USERSoftwareMicrosoftInterHKEY_CURRENT_USERSoftwareMicrosoftInternet ExploreMainStart Pagenet ExploreMainStart Page。 2022-6-22计算机网络安全208.2 WebWeb服务中的服务中的IEIE安全安全解决办法:解决办法:(1)(1)执行执行“开始开始”“运行运行”命令,在命令,在“打开打开”文文本框中输入本框中输入regeditregedit。
展开阅读全文