chapter7Web的安全性課件

主要內(nèi)容Web的安全性概述Web服務(wù)器的安全(IIS)腳本語言的安全性CGI程序的安全性VBScript語言的安全性JavaScript語言的安全性Web瀏覽器的安全(IE)Web站點(diǎn)安全概述 Web站點(diǎn)的五種主要安全問題1）未經(jīng)授權(quán)的存取動(dòng)作。2）竊取系統(tǒng)的信息。3）破壞系統(tǒng)。4）非法使用。5）病毒破壞。（1）網(wǎng)絡(luò)系統(tǒng)的安全漏洞（2）操作系統(tǒng)類安全漏洞（3）應(yīng)用系統(tǒng)的安全漏洞（IIS）（4）腳本的安全漏洞（5）其他安全漏洞返回本節(jié)影響Web站點(diǎn)安全的因素什么樣的平臺(tái)對(duì)Web服務(wù)器來說更安全？1Windows+IIS2Unix+Apache3solaris4Linux+Apache（Tomcat）每一個(gè)不同的平臺(tái)都有其不同的安全含意，但是不能彼此比較安全性。盡管你應(yīng)該注意每個(gè)操作系統(tǒng)的安全性，但是這不應(yīng)該成為你選擇平臺(tái)的主要標(biāo)準(zhǔn)。操作系統(tǒng)的選擇選擇一個(gè)安全的Web服務(wù)器在增強(qiáng)服務(wù)器的安全性時(shí)，應(yīng)該有三個(gè)目的：

A.配置你的程序使它只能提供你指定的服務(wù)。

B.不到必要的時(shí)候不暴露任何信息。

C.如果系統(tǒng)遭到入侵，最大限度地減少損壞IIS的安全1.安裝時(shí)應(yīng)注意的安全問題2.用戶控制的安全性3.登錄認(rèn)證的安全性4.訪問權(quán)限控制5.IP地址的控制6.端口安全性的實(shí)現(xiàn)7.IP轉(zhuǎn)發(fā)的安全性8.SSL安全機(jī)制（SSL安全演示實(shí)驗(yàn)）什么CGI--CommonGatewayInterface一種基于瀏覽器的輸入、在Web服務(wù)器上運(yùn)行的程序方法。CGI腳本使你的瀏覽器與用戶能交互，為了在數(shù)據(jù)庫中尋找一個(gè)名詞，提供你寫入的評(píng)論，或者從一個(gè)表單中選擇幾個(gè)條目并且能得到一個(gè)明確的回答。如果你曾經(jīng)遇到過在web上填表或進(jìn)行搜索,你就是用的CGI腳本。網(wǎng)絡(luò)服務(wù)器開放的構(gòu)造允許任意的CGI腳本可在對(duì)遠(yuǎn)程服務(wù)請(qǐng)求有應(yīng)答服務(wù)器上執(zhí)行。安裝在你的網(wǎng)站上任何CGI腳本都含有漏洞，每一個(gè)這樣的漏洞都是一個(gè)潛在的安全漏洞。CGI語言，如Perl，Php，C，VC++等都可以稱為CGI語言CGI安全一是Web服務(wù)器的安全。1.Web服務(wù)器軟件編制中的BUG。2.服務(wù)器配置錯(cuò)誤。這可能導(dǎo)致CGI源代碼泄露。

一是CGI語言的安全。ASP安全1、ASP源代碼的泄漏2、密碼驗(yàn)證時(shí)的漏洞3、數(shù)據(jù)類型判斷上的漏洞4、來自filesystemobject的威脅

5、ASP.NET編程時(shí)的漏洞Web瀏覽器的安全----

瀏覽器本身的漏洞

緩沖區(qū)溢出漏洞

遞歸Frames漏洞

快捷方式漏洞

重定向漏洞

ActiveX的安全性