Internet安全概述(ppt-151頁)課件

1、（第14講）考場作文開拓文路能力分解層次(網(wǎng)友來稿)江蘇省鎮(zhèn)江中學(xué) 陳乃香說明：本系列稿共24講，20XX年1月6日開始在資源上連載【要義解說】文章主旨確立以后，就應(yīng)該恰當(dāng)?shù)胤纸鈱哟?，使幾個層次構(gòu)成一個有機(jī)的整體，形成一篇完整的文章。如何分解層次主要取決于表現(xiàn)主旨的需要?！静呗越庾x】一般說來，記人敘事的文章常按時間順序分解層次，寫景狀物的文章常按時間順序、空間順序分解層次；說明文根據(jù)說明對象的特點(diǎn)，可按時間順序、空間順序或邏輯順序分解層次；議論文主要根據(jù)“提出問題分析問題解決問題”順序來分解層次。當(dāng)然，分解層次不是一層不變的固定模式，而應(yīng)該富于變化。文章的層次，也常常有些外在的形式：1小標(biāo)題式

2、。即圍繞話題把一篇文章劃分為幾個相對獨(dú)立的部分，再給它們加上一個簡潔、恰當(dāng)?shù)男?biāo)題。如世界改變了模樣四個小標(biāo)題：壽命變“長”了、世界變“小”了、勞動變“輕”了、文明變“綠”了。 2序號式。序號式作文與小標(biāo)題作文有相同的特點(diǎn)。序號可以是“一、二、三”，可以是“A、B、C”，也可以是“甲、乙、丙”從全文看，序號式干凈、明快；但從題目上看，卻看不出文章內(nèi)容，只是標(biāo)明了層次與部分。有時序號式作文，也適用于敘述性文章，為故事情節(jié)的展開，提供了明晰的層次。 3總分式。如高考佳作人生也是一張答卷。開頭：“人生就是一張答卷。它上面有選擇題、填空題、判斷題和問答題，但它又不同于一般的答卷。一般的答卷用手來書寫，

3、人生的答卷卻要用行動來書寫?！敝黧w部分每段首句分別為：選擇題是對人生進(jìn)行正確的取舍，填空題是充實(shí)自己的人生，判斷題是表明自己的人生態(tài)度，問答題是考驗(yàn)自己解決問題的能力。這份“試卷”設(shè)計得合理而且實(shí)在，每個人的人生都是不同的，這就意味著這份人生試卷的“答案是豐富多彩的”。分解層次，應(yīng)追求作文美學(xué)的三個價值取向：一要勻稱美。什么材料在前，什么材料在后，要合理安排；什么材料詳寫，什么材料略寫，要通盤考慮。自然段是構(gòu)成文章的基本單位，恰當(dāng)劃分自然段，自然就成為分解層次的基本要求。該分段處就分段，不要老是開頭、正文、結(jié)尾“三段式”，這種老套的層次顯得呆板。二要波瀾美。文章內(nèi)容應(yīng)該有張有弛，有起有伏，如波

4、如瀾。只有這樣才能使文章起伏錯落，一波三折，吸引讀者。三要圓合美。文章的開頭與結(jié)尾要遙相照應(yīng)，把開頭描寫的事物或提出的問題，在結(jié)尾處用各種方式加以深化或回答，給人首尾圓合的感覺。【例文解剖】 話題：忙忙，不亦樂乎 忙，是人生中一個個步驟，每個人所忙的事務(wù)不同，但是不能是碌碌無為地白忙，要忙就忙得精彩，忙得不亦樂乎。 忙是問號。忙看似簡單，但其中卻大有學(xué)問。忙是人生中不可缺少的一部分，但是怎么才能忙出精彩，忙得不亦樂乎，卻并不簡單。人生如同一張地圖，我們一直在自己的地圖上行走，時不時我們眼前就出現(xiàn)一個十字路口，我們該向哪兒，面對那縱軸橫軸相交的十字路口，我們該怎樣選擇?不急，靜下心來分析一下，選

5、擇適合自己的坐標(biāo)軸才是最重要的。忙就是如此，選擇自己該忙的才能忙得有意義。忙是問號，這個問號一直提醒我們要忙得有意義，忙得不亦樂乎。 忙是省略號。四季在有規(guī)律地進(jìn)行著冷暖交替，大自然就一直按照這樣的規(guī)律不停地忙，人們亦如此。為自己找一個目標(biāo)，為目標(biāo)而不停地忙，讓這種忙一直忙下去。當(dāng)目標(biāo)已達(dá)成，那么再找一個目標(biāo)，繼續(xù)這樣忙，就像省略號一樣，毫無休止地忙下去，翻開歷史的長卷，我們看到牛頓在忙著他的實(shí)驗(yàn)；愛迪生在忙著思考；徐霞客在忙著記載游玩；李時珍在忙著編寫本草綱目。再看那位以筆為刀槍的充滿著朝氣與力量的文學(xué)泰斗魯迅，他正忙著用他獨(dú)有的刀和槍在不停地奮斗。忙是省略號，確定了一個目標(biāo)那么就一直忙下去

6、吧!這樣的忙一定會忙出生命靈動的色彩。 忙是驚嘆號。世界上的人都在忙著自己的事，大自然亦如此，小蜜蜂在忙，以蜂蜜為回報。那么人呢?居里夫人的忙，以放射性元素的發(fā)現(xiàn)而得到了圓滿的休止符；愛因斯坦在忙，以相對論的問世而畫上了驚嘆號；李白的忙，以那豪放的詩歌而有了很大的成功；張衡的忙，因?yàn)槟堑貏觾x的問世而讓世人仰慕。每個人都應(yīng)該有效率的忙，而不是整天碌碌無為地白忙。人生是有限的、短暫的，因此，每個人都應(yīng)該在有限的生命里忙出屬于他的驚嘆號；都應(yīng)在有限的生命里忙出他的人生精彩篇章。 忙是萬物、世界、人生中都不可缺少的一部分。作為這世上最高級動物的我們，我們在忙什么呢?我們要忙得有意義，有價值，我們要忙出

7、屬于我們的精彩。我們的忙不能永遠(yuǎn)是問號，而應(yīng)是省略號和感嘆號。忙就要忙得精彩，忙得不亦樂乎。 解剖：本文將生活中的一句口頭禪“忙得不亦樂乎”機(jī)智翻新，擬作標(biāo)題，亮出一道美麗的風(fēng)景。并據(jù)此展開述說，讓人神清氣爽。文章開篇扣題，亮出觀點(diǎn)：忙，是人生中一個個步驟，不能碌碌無為地白忙，要忙就忙得精彩，忙得不亦樂乎。然后，作者分別用問號、省略號、驚嘆號巧妙設(shè)喻，抓住這三種標(biāo)點(diǎn)符號的特征，擺實(shí)事，講道理，入情入理，入理入心。深刻地闡明人生忙，忙要像問號一樣，經(jīng)常問問自己，不能盲目，不能瞎忙，要忙得有意義；人生如四季一樣是有規(guī)律的，要選準(zhǔn)目標(biāo)，像省略號一樣，毫無休止地忙下去，忙出生命靈動的色彩；而人生有限，

8、每個人都應(yīng)有限的生命里忙出屬于他的驚嘆號，忙出人生精彩的篇章。結(jié)尾，作者用一個段落總結(jié)全文，照應(yīng)開頭，照應(yīng)題目，有力收束?！揪}解析】閱讀下面的材料，根據(jù)要求作文。在一處地勢十分險惡的峽谷，谷底奔騰著咆哮的急流，峽谷間有一座索橋，幾根光禿禿、晃悠悠的鐵索橫在峽谷間，它是通過這個地方的唯一路徑，這里經(jīng)常有人因?yàn)槭ё愣肷罟?。有一天，有三個人來到了這里。一個聾子，一個瞎子，還有一個健康的人。聾子看看這座橋，很害怕，但是他聽不到急流的聲音，他用眼睛看著腳下步伐，很順利地過去了。瞎子不知峽谷的險惡，他心平氣和，十分穩(wěn)妥地通過了。第三個人是健康人，一直猶豫不敢走這索橋，可是又沒有其他路可走。于是，他十

9、分緊張地硬著頭皮走上索橋，到了橋中央，他看到腳下萬丈深淵，云霧升騰，聽到谷底急流咆哮，早已兩腿顫顫，面如土色，一不小心跌下橋去。請就“不要把困難看得太明白”為話題寫一篇文章。注意所寫內(nèi)容必須在話題范圍之內(nèi)。試題引用的材料，考生在文章中可用也可不用。立意自定。文體自選。題目自擬。不少于800字。不得抄襲。解析：有時候，把困難看得太明白，分析得太透徹，反而會被困難嚇倒以至于阻攔我們前進(jìn)的腳步。倒是那些未把困難完全看清楚而勇往直前的人，更容易達(dá)到終點(diǎn)。 作者郵箱：謝觀賞第8章Internet的安全性8.1Internet/Intranet的安全概述8.2網(wǎng)頁中的新技術(shù)與IE

10、的安全性8.3電子郵件與Outlook Express的安全8.4IIS 服務(wù)器的安全8.5本章小結(jié)練習(xí)題Internet是全世界最大、覆蓋面最廣的計算機(jī)互聯(lián)網(wǎng)絡(luò)。它不僅僅把眾多計算機(jī)連接起來，而更重要的是Internet中含有極其豐富的信息資源。因此，人們常稱Internet是現(xiàn)代的信息超級市場，是信息的海洋，也是全球信息基礎(chǔ)設(shè)施即信息高速公路的雛形。然而Internet本身是沒有邊界的、全球的互聯(lián)網(wǎng)，不屬于任何一個組織和任何一個國家；在Internet上既沒有法令也沒有法規(guī)，人們的行為幾乎不受制約。如今在Internet上的安全問題已成了計算機(jī)和通信界關(guān)注的焦點(diǎn)，從安全問題角度考慮，給認(rèn)為

11、Internet已經(jīng)完全勝任商務(wù)活動的人們潑了一盆冷水，也延緩或阻礙了Internet作為國家信息基礎(chǔ)設(shè)施或全球信息基礎(chǔ)設(shè)施成為大眾媒體的發(fā)展進(jìn)程。一些調(diào)查研究表明，許多個人和公司之所以對加入Internet持觀望態(tài)度，其主要原因就是出于對安全的考慮。與此同時，也有分析家警告商家不加入Internet會有什么危害。盡管眾說紛紜，但大家一致認(rèn)為Internet需要更多更好的安全機(jī)制。在享受Internet帶來許多好處的同時，了解Internet的工作機(jī)制、安全漏洞、加強(qiáng)自身的安全意識和采取一定的防范措施是非常必要的。本章將學(xué)習(xí)有關(guān)Internet應(yīng)用中的安全性問題，主要內(nèi)容有：Internet/

12、Intranet的安全概述；Internet Explorer的安全性；IIS 服務(wù)器的安全性；電子郵件的安全性；Outlook Express的安全性。8.1 Internet/Intranet的安全概述 8.1.1 Internet的脆弱性Internet是使用公共語言進(jìn)行通訊的全球計算機(jī)網(wǎng)絡(luò)。它類似于國際電話系統(tǒng)，即無人擁有或控制整個系統(tǒng)，但是以大型網(wǎng)絡(luò)的工作方式連接。Internet本身是沒有邊界的、全球的互聯(lián)網(wǎng)，不屬于任何一個組織和任何一個國家；在Internet上既沒有法令也沒有法規(guī)，人們的行為幾乎不受制約。由于沒有國際互聯(lián)網(wǎng)上通行的國際法規(guī)，所以對犯罪沒有處理的依據(jù)。Intern

13、et有很多安全隱患，主要表現(xiàn)在以下幾方面。(1) Internet是跨國界的，黑客樂于進(jìn)行跨國攻擊。(2) 通過IP地址識別網(wǎng)絡(luò)上的用戶是完全不可靠的。眾所周知，大多數(shù)國家都實(shí)行身份證或戶籍管理制度，這種制度就是把人和他的身份對應(yīng)起來，通過身份來控制和管理個人。但是在Internet上，IP地址只是一個數(shù)字的標(biāo)志，根本不能代表實(shí)際的身份。通過IP地址來識別和管理存在嚴(yán)重的安全漏洞。(3) Internet本身沒有中央管理機(jī)制，沒有法令和法規(guī)。(4) Internet從技術(shù)上來講是開放的、標(biāo)準(zhǔn)的，是為君子設(shè)計而不防小人的。(5) Internet沒有審計和記錄的功能，也就是說對發(fā)生的事情沒有記錄

14、，這也是一個安全隱患。8.1.2 Internet提供的服務(wù)中的安全問題如前所述的核心協(xié)議是TCP/IP協(xié)議，通過TCP/IP協(xié)議提供的服務(wù)有很多脆弱性?；赥CP/IP協(xié)議的服務(wù)很多，人們比較熟悉的有WWW服務(wù)、FTP服務(wù)和電子郵件服務(wù)等；不太熟悉的有TFTP服務(wù)、NFS服務(wù)和Finger服務(wù)等。這些服務(wù)都存在不同程度上的安全缺陷。當(dāng)用戶用防火墻保護(hù)站點(diǎn)時，就需要考慮該提供哪些服務(wù)、要禁止哪些服務(wù)，在這里只對一些常用服務(wù)作簡單介紹。 1. WWW服務(wù)的安全WWW服務(wù)又稱Web服務(wù)，它相對于其他服務(wù)出現(xiàn)比較晚，是建立在HTTP(超文本傳輸協(xié)議)協(xié)議上的全球信息庫，是Internet上HTTP服

15、務(wù)器的集合，它是瑞士日內(nèi)瓦歐洲粒子物理實(shí)驗(yàn)室發(fā)明的，并在短時間內(nèi)得到迅猛發(fā)展，是人們最常用的Internet服務(wù)。目前Web站點(diǎn)遍及世界各地。萬維網(wǎng)用超文本技術(shù)把Web站點(diǎn)上的文件鏈在一起，文件可以包括文本、圖形、聲音、視頻以及其他形式。用戶可以自由地通過超文本導(dǎo)航從一個文件進(jìn)入另一個文件，方便地搜索信息。不管文件在哪里，只要在HTTP協(xié)議連接的字或圖上用鼠標(biāo)點(diǎn)一下就行了。搜索Web文件的工具是瀏覽器，常用的瀏覽器是Netscape Navigator和Microsoft Interne Explorer。HTTP只是瀏覽器中使用的一種協(xié)議，瀏覽器還會使用FTP、GOPHER、WAIS等協(xié)議，

16、也會包括NNTP和SMTP等協(xié)議。因此，當(dāng)用戶在使用瀏覽器時，實(shí)際上他是通過HTTP申請服務(wù)，也會去申請F(tuán)TP、GOPHER、WAIS、NNTP和SMTP等服務(wù)器。這些服務(wù)器都存在漏洞，是不安全的。隨著Netscape公司推出安全套接子層SSL，WWW服務(wù)器和瀏覽器的安全型得到了大大的提高，現(xiàn)在人們已經(jīng)把這種技術(shù)應(yīng)用于電子商務(wù)Ebusiness。例如，在美國人們可以在Internet上買賣股票和使用信用卡購物。WWW服務(wù)存在什么安全問題呢？安全套接子層SSL使WWW服務(wù)的安全型提高了很多，但它主要解決的是數(shù)據(jù)包被竊聽和劫持的問題，除此之外WWW服務(wù)還有其他問題。如WWW服務(wù)使用的CGI程序、服

17、務(wù)器端附件(Server Side Include, SSI)和Java Applet小程序等。瀏覽器由于靈活而備受用戶的歡迎，而靈活性也會導(dǎo)致控制困難。瀏覽器比FTP服務(wù)器更容易轉(zhuǎn)換和執(zhí)行，但是一個惡意的侵入也就更容易得到轉(zhuǎn)換和執(zhí)行。瀏覽器一般只能理解基于如HTML格式、JPEG和GIF圖形格式等數(shù)據(jù)格式。對其他的數(shù)據(jù)格式，瀏覽器是通過外部程序來觀察的。一定要注意哪些外部程序是默認(rèn)的。不能允許那些危險的外部程序進(jìn)入站點(diǎn)。用戶不要隨便地增加外部程序，不要輕信陌生人的建議而去隨便修改外部程序的配置。大部分Web站點(diǎn)注意的只是站點(diǎn)內(nèi)部的安全。但是通過WWW會引入外部文件和程序，通過超文本會進(jìn)入其他

18、站點(diǎn)的文本。它們對這些文本和程序的安全性一般考慮的就很少，因此會帶來很多的安全問題。最初WWW服務(wù)只提供靜態(tài)的HTML頁面，這種頁面顯得很呆板，于是人們引入了CGI程序，CGI程序讓人們的主頁活起來。通用網(wǎng)關(guān)接口(common gateway interface, CGI)誕生于NCSA，Mosaic WWW瀏覽器和NCSA http WWW服務(wù)器也來源于此。其目標(biāo)是提供一種靈活方便的機(jī)制來擴(kuò)展服務(wù)器的功能，從而超出建立在http服務(wù)器之上的“get file and display(得到文件并顯示)”的模型，它已經(jīng)很好地達(dá)到了這個目標(biāo)。盡管從技術(shù)上說CGI指的是接口，在一般術(shù)語中CGI經(jīng)常用

19、于指CGI程序設(shè)計本身。CGI的思想是WWW資源不一定只為靜態(tài)的文本頁面或者任何其他類型的不可改變的文件。它可以是在服務(wù)器及其上完成任務(wù)和計算的一個程序，并且輸出一個動態(tài)文檔，這個動態(tài)文檔可能基于通過HTML表單的請求而提供的數(shù)據(jù)。在編寫程序之前要仔細(xì)研究完整的CGI規(guī)范。其地址是：/cgi/。要想有效地使用CGI，必須要理解HTML表單，它通常意味著向CGI傳遞數(shù)據(jù)。這些都記錄于HTML2.0規(guī)范RFC 1866：/rfc/ rfc1886.txt。當(dāng)用戶進(jìn)入hotmail時，會發(fā)現(xiàn)下面的用戶的輸入信息，一般用戶是通過表格把輸入信息傳給CGI程序的，然后CGI程序可以根據(jù)用戶的要求進(jìn)行一些處

20、理；在一般情況下會生成一個HTML文件，并傳回給用戶。很多CGI程序都存在安全漏洞，很容易被黑客利用做一些非法的事情，如把/etc/passwd文件傳送給黑客、刪除服務(wù)器上的文件等。還有，很多人在編寫CGI程序時，可能對CGI程序包中的安全漏洞并不了解，而且在大多數(shù)情況下不會重新編寫程序的所有部分，只是對其加以適當(dāng)?shù)男薷模@樣很多CGI程序就不可避免的具有相同的安全漏洞，所以用戶若要編寫一個安全的CGI程序，就應(yīng)先去了解這些軟件包中的安全漏洞。這些可以從網(wǎng)上得到。CGI是一種獨(dú)立于語言的接口，使得WWW可以使用幾乎任何語言產(chǎn)生動態(tài)文檔。CGI可以用任何訪問環(huán)境變量和產(chǎn)生輸出的語言編寫，而且已經(jīng)

21、用了很多語言編寫它，然而最流行的可能要算PERL了。這主要是因?yàn)樗哂休^強(qiáng)的字符串處理能力，但它也很不安全，其中有很多UNIX的特殊字符可用來執(zhí)行UNIX的系統(tǒng)命令，一般入侵者就是利用這些特殊字符實(shí)施攻擊的。強(qiáng)大而靈活的接口通常的代價就是系統(tǒng)安全，CGI也不例外。程序員經(jīng)常會匆忙地編寫出CGI程序，就像其他簡單程序一樣，而沒有考慮到每個CGI程序都是一個Internet服務(wù)器，都會帶來同樣的危險。CGI經(jīng)常被編寫成等待一定格式的數(shù)據(jù)，但是實(shí)質(zhì)上不限制長度的任意數(shù)據(jù)都可以發(fā)送給程序。這意味著CGI必須被編寫得健壯一些，當(dāng)受到一些惡意的或者不是想要的數(shù)據(jù)時，它要能夠適當(dāng)?shù)闹兄埂ＭǔＪ褂玫腎nter

22、net服務(wù)器，如sendmail和finger在被編寫時都充分意識到了這些危險性。這些程序的源代碼已經(jīng)被各種各樣的人研究多年，以便找出問題。即使這樣，安全性問題仍然存在。鑒于此，如果允許用戶創(chuàng)建CGI程序卻不仔細(xì)去評估其中的危險性并采取行動減小這種危險性，那簡直是太愚蠢了。2. 電子郵件服務(wù)的安全電子郵件服務(wù)給人們提供了一種便宜、方便和快捷的服務(wù)，如今的大學(xué)生們幾乎人人都有一個E-mail地址，E-mail地址也開始出現(xiàn)在人們的名片上了?，F(xiàn)在，UNIX環(huán)境下的電子郵件服務(wù)器一般是Sendmail，它是一個復(fù)雜且功能強(qiáng)大的應(yīng)用軟件，正因?yàn)槿绱怂陌踩┒淳透?。程序越龐大、越?fù)雜則安全漏洞出現(xiàn)的

23、可能性就越大，這是一個公認(rèn)的原理。Sendmail在UNIX環(huán)境下以root賬戶運(yùn)行，所以如果該程序被黑客利用，用戶主機(jī)的損失將會是十分巨大的。因特網(wǎng)蠕蟲病毒曾經(jīng)震驚世界，它使大批的服務(wù)器陷于癱瘓之中，這種病毒就是利用了Sendmail的安全缺陷。如果要使這些功能以更安全的方式實(shí)現(xiàn)，需要對Sendmail進(jìn)行重新設(shè)計和重新實(shí)現(xiàn)，但人們又會擔(dān)心新的版本會出現(xiàn)更多的人們不知道的安全漏洞。Sendmail的問題被人們修修補(bǔ)補(bǔ)，但總是有新的問題出現(xiàn)，“最新Sendmail修訂版”在網(wǎng)絡(luò)安全中已經(jīng)成了一種笑料。除此之外，電子郵件附著的Word文件和其他文件有可能會帶有病毒。電子郵件炸彈也是一個令人頭疼的

24、問題，試想，用戶一下子收到了一大堆垃圾郵件，直到郵件箱被塞滿，用戶會有什么感受？3. FTP服務(wù)和TFTP服務(wù)的安全這兩個服務(wù)都是適用于傳輸文件的，但用的場合不同，安全程度也不同。TFTP服務(wù)用于局域網(wǎng)，在無盤工作站啟動時用于傳輸系統(tǒng)文件，因?yàn)樗粠в腥魏伟踩J(rèn)證所以安全性極差，因此常被人用來竊取密碼文件/etc/passwd。FTP服務(wù)對于局域網(wǎng)和廣域網(wǎng)都可以用來下載任何類型的文件。FTP服務(wù)由TCP/IP的文件傳輸協(xié)議支持。只要連入Internet的兩臺計算機(jī)都支持TCP/IP協(xié)議，運(yùn)行FTP軟件，用戶就像使用自己計算機(jī)上的資源管理器一樣，將遠(yuǎn)程計算機(jī)上的文件復(fù)制到自己的硬盤。大多數(shù)提供F

25、TP服務(wù)的站點(diǎn)允許用戶以anonymous作為用戶名，不需要密碼或告訴你密碼，如guest、自己的E-mail地址。有的站點(diǎn)不需要輸入賬號名和口令，一旦登錄成功，用戶可以下載文件。如果服務(wù)器安全系統(tǒng)允許，用戶也可以上載文件，這種FTP服務(wù)稱為匿名服務(wù)。網(wǎng)上有許多匿名FTP服務(wù)站點(diǎn)，其上有許多免費(fèi)軟件、圖片和游戲，匿名FTP是人們常使用的一種服務(wù)方式。FTP服務(wù)的安全性要好一些，起碼它需要用戶輸入用戶名和口令。當(dāng)然，匿名FTP服務(wù)就像匿名WWW服務(wù)是不需要口令的，但用戶權(quán)力會受到嚴(yán)格的限制。匿名FTP(Anonymous FTP)是ISP的一項重要服務(wù)，它允許用戶通過FTP訪問FTP服務(wù)器上的文

26、件，這時不正確的配置將嚴(yán)重威脅系統(tǒng)安全。因此，需要保證使用它的人不去申請系統(tǒng)上其他的區(qū)域或文件，也不能對系統(tǒng)作任意的修改。在匿名FTP區(qū)域中一個可寫的目錄常常是應(yīng)該擔(dān)心的。文件傳輸和電子郵件一樣會給網(wǎng)上的站點(diǎn)帶來不受歡迎的數(shù)據(jù)和程序。首先文件傳輸可能會帶來“特洛伊木馬”，這會給站點(diǎn)以毀滅性的打擊。其次是會給站點(diǎn)帶入無聊的游戲、盜版軟件以及色情圖畫等，也會帶來時間和磁盤空間的煩惱，還可能嵩斐傘熬芫瘛憊鰲涿FTP服務(wù)的安全在很大程度上決定于一個系統(tǒng)管理員的水平。一個低水平的系統(tǒng)管理員很可能會錯誤配置權(quán)限，從而被黑客利用破壞整個系統(tǒng)。4. 遠(yuǎn)程登錄(Telnet)的安全遠(yuǎn)程登錄是提供遠(yuǎn)程終端申請的程

27、序。這是一種十分有用又十分節(jié)約的遠(yuǎn)程申請機(jī)制。Telnet是因特網(wǎng)上常用的登錄程序。它真實(shí)地模仿一個終端，但不能是圖形工作站。不用做特殊的安排就可以為因特網(wǎng)上任何站點(diǎn)上的用戶提供遠(yuǎn)程申請。但它只能提供基于字符(文本)的應(yīng)用。Telnet不僅允許用戶登錄到遠(yuǎn)程終端主機(jī)上，還允許用戶執(zhí)行那臺主機(jī)的命令。這樣北京的用戶可以對上海的機(jī)器進(jìn)行終端仿真，并運(yùn)行上海及其上的程序，就像用戶身在上海一樣。Telnet看來像是十分安全的服務(wù)，但它要用戶認(rèn)證。Telnet送出的所有信息是不加密的，很容易被黑客攻擊?，F(xiàn)在Telnet被認(rèn)為是從遠(yuǎn)程系統(tǒng)申請你的站點(diǎn)時是最危險的服務(wù)之一。要使Telnet安全，必須選擇安全

28、的認(rèn)證方案，防止站點(diǎn)被竊聽或侵襲。5. 用戶新聞(usenet news)用戶新聞或新聞組是因特網(wǎng)上的公告牌，它提供了多對多的通信。最大眾化的新聞組會有幾十萬人參加。像電子郵件一樣，用戶新聞具有危險性。并且大多數(shù)站點(diǎn)的新聞信息量大約6個月翻一番，很容易造成溢出。為了安全起見，一定要配置好新聞服務(wù)。網(wǎng)絡(luò)新聞傳輸協(xié)議(netware news transfer protocol，NNTP)是因特網(wǎng)上轉(zhuǎn)換新聞的協(xié)議。很多站點(diǎn)建立了預(yù)定的本地新聞組，以便于本地用戶間進(jìn)行討論。這些新聞組往往包含秘密的、有價值的或者是敏感的信息。有些人可以通過NNTP服務(wù)器私下申請這些預(yù)定新聞組，結(jié)果造成泄密。如果要建立

29、預(yù)定新聞組，一定要小心的配置NNTP服務(wù)器，控制對這些新聞組的申請。6. 其他的網(wǎng)絡(luò)信息服務(wù)(1) Finger和Whois是可以提供有關(guān)人的信息的兩種查詢服務(wù)。Finger可以查找在網(wǎng)絡(luò)上擁有賬戶的用戶信息，而不管用戶目前是否登錄在網(wǎng)上。這些信息包括人的真實(shí)姓名、賬號、電話號碼、公司地址、最近何時何地登錄注冊的信息以及用戶的其他材料。在TCP/IP協(xié)議中只需一個IP地址便可以提供許多關(guān)于主機(jī)的信息，例如誰在登錄、登錄的時間、地點(diǎn)等。對一個訓(xùn)練有素的黑客來說，F(xiàn)inger無疑是其進(jìn)入目標(biāo)主機(jī)的一把利器。因?yàn)橹懒擞脩裘偷扔诔晒α艘话?。鑒于此，如果你的系統(tǒng)不需要這種服務(wù)，就請在你的超級守護(hù)進(jìn)程

30、的配置文件(inetd.conf)中將它注釋掉。Whois和Finger相似， 它提供的是公開有效的信息。這些信息是主機(jī)、網(wǎng)絡(luò)、域和它們的管理者的材料。Whois客戶默認(rèn)的詢問主機(jī)是，在Internets Network Information Center(InterNIC)那里得到關(guān)于Internet上關(guān)于主機(jī)、網(wǎng)絡(luò)、域和管理者的信息。(2) Gopher、廣域信息服務(wù)WAISWide Area Information Service和文檔查詢服務(wù)Archie都是Internet上的查詢服務(wù)工具。Gopher是一個面向菜單基于文本的查詢工具。在Gopher服務(wù)器上信息是以一系列分級菜單組成

31、的，從菜單里，用戶可以選擇條目，每一個條目可以是一個文件、一種格式或一個分條目。Gopher服務(wù)器和客戶都使用鏈接的數(shù)據(jù)方案，這和WWW、Web服務(wù)一樣會帶來安全問題。Archie是基于文件名的自動搜索服務(wù)，WAIS是基于文件內(nèi)容(關(guān)鍵字)的自動搜索服務(wù)。WAIS和Archie比Web和Gopher漏洞要小一點(diǎn)，因?yàn)樗鼈儾环祷厝我庑问降臄?shù)據(jù)。但當(dāng)提供這些服務(wù)時可能會引起其他的漏洞。例如，允許用戶直接申請Archie，就會允許闖入者申請NFS和NIS/YP服務(wù)器。(3) 除了上面提到的Finger和TFTP服務(wù)，還有X Windows服務(wù)和基于RPC的NFS服務(wù)和BSD UNIX的以“r”開頭的

32、服務(wù)，如Rlogin、rsh和rexec。這些服務(wù)在設(shè)計上安全性很差，一般只在內(nèi)部網(wǎng)使用。如果有防火墻，應(yīng)把這些服務(wù)限制在內(nèi)網(wǎng)中。8.1.3 Intranet的安全性Intranet又稱企業(yè)內(nèi)部網(wǎng)，由于它在局域網(wǎng)內(nèi)部采用了Internet技術(shù)而得名“Intranet”。因此，Intranet指的是私人、公司和企業(yè)內(nèi)部網(wǎng)絡(luò)上為用戶提供信息的任何使用TCP/IP協(xié)議的網(wǎng)絡(luò)。這些網(wǎng)絡(luò)中的一部分，雖然沒有連接到Internet，但是使用了Internet通訊標(biāo)準(zhǔn)和工具。例如，公司中安裝的Web服務(wù)器，可在內(nèi)部員工之間發(fā)布公司業(yè)務(wù)通訊、銷售圖表及其他的公共文檔。換句話說，Intranet就是采用了Int

33、ernet技術(shù)和標(biāo)準(zhǔn)的私有網(wǎng)絡(luò)。Intranet和Internet相比較，存在的主要問題同樣是安全方面的問題。Intranet本身是一個相對獨(dú)立的網(wǎng)絡(luò)空間，相對獨(dú)立是指它有自己的邊界。另一個方面，Intranet具有中央管理，這一點(diǎn)很好理解。一個Intranet有它自己的主人，屬于某一個機(jī)構(gòu)或某一個單位，那么這個機(jī)構(gòu)和這個單位要對這個網(wǎng)絡(luò)實(shí)施管理，而且管理的核心內(nèi)容就是安全。Intranet本身只采用IP識別是不夠的，因?yàn)镮P地址易被竊用。Internet和Intranet相比，最主要的一點(diǎn)差別在于：Internet沒有管理，而Intranet有管理。從技術(shù)角度來看，Intranet需要一套身

34、份認(rèn)證和授權(quán)管理系統(tǒng)。Intranet的安全需求包括：(1) 解決網(wǎng)絡(luò)的邊界安全，由于它本身是和國際互聯(lián)網(wǎng)相連的；(2) 要保證網(wǎng)絡(luò)內(nèi)部的安全；(3) 不僅要實(shí)現(xiàn)系統(tǒng)安全，還要實(shí)現(xiàn)數(shù)據(jù)安全；(4) 建立全網(wǎng)通行的身份識別系統(tǒng)，實(shí)現(xiàn)用戶的統(tǒng)一管理；(5) 在身份識別和資源統(tǒng)一管理的基礎(chǔ)之上，實(shí)現(xiàn)統(tǒng)一的授權(quán)管理。所謂的統(tǒng)一授權(quán)管理就是在用戶和資源之間進(jìn)行嚴(yán)格的訪問控制；(6) 信息傳輸時實(shí)現(xiàn)數(shù)據(jù)的完整性和保密性；(7) 建立一整套審計、記錄的機(jī)制，也就是說網(wǎng)上發(fā)生的事情要記錄下來，再根據(jù)記錄進(jìn)行事后的處理；(8) 把技術(shù)手段和行政手段融為一體，形成全局的安全管理。8.2 網(wǎng)頁中的新技術(shù)與IE的安全

35、性Microsoft Internet Explorer是一種WWW瀏覽器。就像Microsoft Word那樣是創(chuàng)建和格式化文檔的工具或者像Microsoft Excel那樣是創(chuàng)建電子表格和執(zhí)行計算的工具，也是Internet Explorer是導(dǎo)航和訪問或?yàn)g覽Web中信息的工具。它的功能比較強(qiáng)大，其安全性隨著IE版本的提高，也逐步完善。當(dāng)前在通過瀏覽器讀取信息的網(wǎng)頁中使用許多如Cookies，Java，Active X等網(wǎng)絡(luò)新技術(shù)，給用戶帶了五彩繽紛的和便利的界面，同時也給黑客提供了攻擊的新手段。在Internet中, 計算機(jī)網(wǎng)絡(luò)安全級別高低的區(qū)分是以用戶通過瀏覽器發(fā)送數(shù)據(jù)和瀏覽器訪問本地

36、客戶資源的能力高低來區(qū)分的。安全和靈活是一對矛盾的東西。高的安全級別必然帶來靈活性的下降和功能的限制。Web技術(shù)的發(fā)展也是安全和功能強(qiáng)大的平衡。純粹文字的HTML或許是安全的(如果我們把內(nèi)容給予用戶身心帶來的沖擊。比如暴力、色情等不看做安全問題)，但顯然其功能會受到很大限制。允許在網(wǎng)頁上下載和使用Active X顯然是不安全的，但功能會很強(qiáng)大也是毋庸質(zhì)疑的。安全是和對象相關(guān)的。一般可以認(rèn)為，小組里十分可信的站點(diǎn)，例如，辦公室的軟件服務(wù)器的數(shù)據(jù)和程序是比較安全的，同時公司的站點(diǎn)是中等水平安全，當(dāng)然Internet上的大多數(shù)訪問被認(rèn)為是相當(dāng)不安全的，其中黑客們的訪問自然是極不安全的?；趯υL問對象

37、和訪問方法的劃分，高版本的IE(如IE5.0)定義了4個通過瀏覽器訪問Internet的安全級別：高、中、中低、低和4類訪問對象：Internet、本地Internet(即Intranet)、可信站點(diǎn)和受限站點(diǎn)等。也就是說IE支持Cookies，Java，Active X等網(wǎng)絡(luò)新技術(shù)，同時也可以通過安全配置來限制用戶使用Active X控件、如何使用Cookies、如何使用腳本(Script)、如何下載數(shù)據(jù)和程序、如何驗(yàn)證用戶登陸、以及對于標(biāo)準(zhǔn)HTML一些可能帶來問題的特性的限制；如Frame(框架網(wǎng)頁)的使用、提交表單的方式等等。由于IE瀏覽器是隨著Windows系統(tǒng)免費(fèi)發(fā)送的，它已成為世界

38、上使用人數(shù)最多的瀏覽器。同時Microsoft公司的產(chǎn)品一般安全性較差，IE瀏覽器也不例外。下面來談?wù)動嘘P(guān)Cookie，Java，Active X等技術(shù)的安全問題和IE瀏覽器的漏洞帶來的安全問題，以及針對這些問題應(yīng)采取的防范措施。8.2.1 瀏覽器中Cookie的安全 1. Cookie簡介Cookie是由Netscape開發(fā)并將其作為持續(xù)保存狀態(tài)信息和其他信息的一種方式，目前絕大多數(shù)的瀏覽器都支持Cookie協(xié)議。如果能夠鏈入Web網(wǎng)頁或其他網(wǎng)絡(luò)的話，就可以使用Cookie來傳遞某些具有特定功能的小信息塊。Cookie是一個儲存于瀏覽器目錄中的文本文件，約由255個字符組成，僅占4KB硬盤空

39、間。當(dāng)用戶正在瀏覽某站點(diǎn)時，它儲存于用戶機(jī)的RAM中；退出瀏覽器后，它儲存于用戶的硬盤中。儲存在Cookie中的大部分信息是普通的信息。例如，當(dāng)瀏覽一個站點(diǎn)時，此文件記錄了每一次的擊鍵信息和被訪站點(diǎn)的URL等。但是許多Web站點(diǎn)使用Cookies來儲存針對私人的數(shù)據(jù)，例如，注冊口令、用戶名、信用卡編號等。MSN(微軟提供的網(wǎng)絡(luò)在線服務(wù))、Netscape都完全采用了使用Cookies儲存信息的個性化處理。假如想查看儲存在Cookie文件中的信息，可以從瀏覽器目錄中查找名為Cookie.txt或MagicCookie(Mac機(jī))的文件，然后利用文本編輯器和字處理軟件打開查看即可。2. Cooki

40、e的安全性HTTP Cookie不會給機(jī)器帶來任何傷害，比如從硬盤中獲取數(shù)據(jù)、取得E-mail地址或竊取某些私人的敏感信息等。實(shí)際上，Java與JavaScript早期的運(yùn)行版本存在這方面的缺陷，但這些安全方面漏洞的絕大部分已經(jīng)被堵塞了?？蓤?zhí)行屬性是儲存于一個文件中的程序代碼執(zhí)行其功能的必要條件，而Cookies是以標(biāo)準(zhǔn)文本文件形式儲存的，因此不會傳遞任何病毒，所以從普通用戶意義上講，Cookie本身是安全可靠的。但是，隨著互聯(lián)網(wǎng)的迅速發(fā)展，網(wǎng)上服務(wù)功能的進(jìn)一步開發(fā)和完善，利用網(wǎng)絡(luò)傳遞的資料信息愈來愈重要，有時涉及到個人的隱私。因此，關(guān)于Cookies的一個值得關(guān)心的問題并不是Cookies對

41、你的機(jī)器能做些什么，而是它能存儲些什么信息或傳遞什么信息到鏈接的服務(wù)器中。HTTP Cookies 可以被用來跟蹤網(wǎng)上沖浪者訪問過的特定站點(diǎn)，盡管站點(diǎn)的跟蹤不用Cookies也容易實(shí)現(xiàn)，不過利用Cookies使跟蹤到的數(shù)據(jù)更加堅固可靠些。由于一個Cookie是Web服務(wù)器放置在機(jī)器上的、并可以重新獲取檔案的惟一的標(biāo)識符，因此Web站點(diǎn)管理員可以利用Cookies建立關(guān)于用戶及其瀏覽特征的詳細(xì)檔案資料。當(dāng)用戶登錄到一個Web站點(diǎn)后，在任一設(shè)置了Cookies的網(wǎng)頁上的單擊操作信息都會被加到該檔案中。檔案中的這些信息暫時主要用于站點(diǎn)的設(shè)計維護(hù)，但除站點(diǎn)管理員外并不否認(rèn)被別人竊取的可能，假如這些Co

42、okies持有者們把一個用戶身份鏈接到他們的Cookie ID，利用這些檔案資料就可以確認(rèn)用戶的名字及地址。此外，某些高級的Web站點(diǎn)(如許多的網(wǎng)上商業(yè)部門)實(shí)際上采用了HTTP Cookies的注冊鑒定方式。當(dāng)用戶在站點(diǎn)注冊或請求信息時，經(jīng)常輸入確認(rèn)他們身份的登記口令、E-mail地址或郵政地址到Web頁面的窗體中，窗體從Web頁面收集用戶信息并提交給站點(diǎn)服務(wù)器，服務(wù)器利用Cookies持久地保存信息，并將其放置在用戶機(jī)上，等待以后的訪問。這些Cookies內(nèi)嵌于HTML信息中，并在用戶機(jī)與站點(diǎn)服務(wù)器間來回傳遞，如果用戶的注冊信息未曾加密，將是很危險的。因此，許多人認(rèn)為Cookie的存在對個

43、人隱私是一種潛在的威脅。3. 拒絕Cookie的方法如果感到不安全的話，可以拒絕Web服務(wù)器設(shè)置的Cookie信息或當(dāng)服務(wù)器在瀏覽器上設(shè)置Cookie時顯示警告窗口，它將告知設(shè)置的Cookies的值及其刪除所花費(fèi)的時間。在Windows下拒絕接受Cookie，可以刪除Cookie文件內(nèi)容或把文件屬性設(shè)置為只讀和隱含。在瀏覽器下拒絕的具體方法如下。(1) 在IE中禁止。IE3.0及以上版本不是把所有的Cookies存儲在單個文件中，而是把每個Cookie作為獨(dú)立的文件儲存在“Windowscookies”目錄下，因此禁止Cookies較困難。 如果想禁止個別的Cookies，例如，記錄雙擊鍵操作

44、的Cookies，可以通過刪除相應(yīng)文件內(nèi)容來破壞這些Cookies，然后把文件屬性改為只讀、隱藏、系統(tǒng)屬性，并且存儲文件。當(dāng)?shù)卿浀揭粋€設(shè)置了這種Cookies的站點(diǎn)時，它既不能從Cookies讀取任何信息，也不會傳遞新的信息給你。 通過IE瀏覽器總體提供的Cookies的安全設(shè)置選項，具體步驟為：打開瀏覽器“工具” “Internet選項” 選擇“安全”選項卡單擊窗口列表中白色編輯框中Internet圖標(biāo)(地球標(biāo)志)，單擊窗口列表中下方的“自定義級別”(如圖8.1所示) 彈出“安全設(shè)置”對話框，移動對話框中的垂直滾動滑塊，直到出現(xiàn)“Cookies”設(shè)置選項，如圖8.2所示有兩個Cookies選

45、項。圖8.1圖8.2允許使用存儲在你計算機(jī)上的Cookies指定IE如何處理來自 Web 站點(diǎn)的永久 Cookie。Cookie 是由 Internet 站點(diǎn)創(chuàng)建的文件，用于在計算機(jī)上存儲有關(guān)用戶的信息(例如身份和訪問該站點(diǎn)時的首選項)。永久 Cookie 以文件的形式存儲在計算機(jī)上，當(dāng) IE關(guān)閉時，它仍然保留在計算機(jī)上。要指定IE接受Cookie而不必先行提示，請單擊“啟用”。要指定 Internet Explorer 在即將接收來自 Web 站點(diǎn)的 Cookie 時發(fā)出警告，請單擊“提示”。要指定不允許 Web 站點(diǎn)將 Cookie 存儲到計算機(jī)上，而且 Web 站點(diǎn)不能讀取本機(jī)上已有的

46、Cookie，請單擊“禁用”。一般來說，為提高安全性應(yīng)選擇“禁止”。允許使用每個對話Cookies(未存儲)指定 Internet Explorer 如何處理來自 Web 站點(diǎn)的臨時 Cookie。如果希望 Internet Explorer 直接接收Cookie而不是事前提醒你，請單擊“啟用”。如果希望 Internet Explorer 在即將接收來自 Web 的 Cookie 時向用戶作出警告，請單擊“提示”。如果不允許來自 Web 站點(diǎn)的 Cookie 進(jìn)入用戶的計算機(jī)，并且不允許用戶計算機(jī)上已有的 Cookie 被 Web 站點(diǎn)讀取，請單擊“禁用”。 通過注冊表禁止Cookies，可

47、刪除注冊表中的如下條目：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternetSettingsCacheSpecial PathsCookies，然后重新啟動機(jī)器，并刪除“Windowscookies”目錄。(2) 在NETSCAPE中禁止。在Netscape的目錄下有一個cookies.txt文件(在Mac機(jī)上稱為Magic cookie)，可以利用文本編輯器大膽地刪除文件的內(nèi)容，并把文件重新存為具有只讀、隱藏、系統(tǒng)屬性的文件，然后運(yùn)行Windows的注冊表編輯器，打開HKEY_CURRENT_USERSoftware

48、NetscapeNetscape NavigatorCookies主鍵，將鍵值名Cookie File設(shè)置為Cookie File=NUL，此時硬盤上就不會再有持續(xù)保存的信息了。上述方法僅是禁止了長期設(shè)在硬盤上的Cookies，當(dāng)瀏覽器正在運(yùn)行時，設(shè)在內(nèi)存中的Cookies仍然未被禁止，但關(guān)閉瀏覽器后因其無法將Cookies寫入硬盤會清除掉這些Cookies。它的優(yōu)點(diǎn)是在瀏覽器運(yùn)行過程中，仍可以交換某些信息。同樣也可以設(shè)置Cookies時顯示警告窗口。 (3) 如果使用了其他支持Cookies的瀏覽器，那么一種較好的方法是使用某些可以拒絕Cookies的工具軟件。例如：Internet Jun

49、kbrster 2.0(可免費(fèi)下載)是一個非常好的選擇，它幾乎能用于所有的瀏覽器，作為一個代理存在于瀏覽器和Internet網(wǎng)之間,可以拒絕大約99%的Cookies。除了訪問允許設(shè)置Cookies的站點(diǎn)外，在使用瀏覽器時它可以禁止所有Cookies寫入硬盤中。8.2.2 Active X的安全問題 1. 什么是Active XActive X是Microsoft公司提供的一款高級技術(shù)，它可以像一個應(yīng)用程序一樣在瀏覽器中顯示各種復(fù)雜的應(yīng)用。Active X是一種技術(shù)集合，它使得在環(huán)球網(wǎng)上交互內(nèi)容得以實(shí)現(xiàn)。利用Active X技術(shù)，網(wǎng)上應(yīng)用變得生動活撥，伴隨著多媒體效果、交互式對象和復(fù)雜的應(yīng)用程

50、序，使用戶猶如感受CD質(zhì)量的音樂一般。Active X技術(shù)是一種集合所有其他使網(wǎng)絡(luò)生動起來的技術(shù)粘合劑。它的主要好處是：動態(tài)內(nèi)容可以吸引用戶，開放的、跨平臺支持可以運(yùn)行在Macintosh、 Windows和UNIX操作系統(tǒng)上。Active X是一種開放平臺，利用它可以使開發(fā)人員為Internet和企業(yè)網(wǎng)開發(fā)出激動人心并包含動態(tài)內(nèi)容的程序。微軟為Internet設(shè)計的主要新技術(shù)之一，具體功能闡述如下。(1) Active X控件Active X控件(以前稱為OLE控件)指的是能夠被插入網(wǎng)頁或任何稱作控件容器庫的應(yīng)用程序之中的對象。例如，按鈕、股票計數(shù)器和直方圖。(2) Active X文檔Ac

51、tive X文檔能夠被網(wǎng)絡(luò)瀏覽器或文檔瀏覽器顯示。傳統(tǒng)的嵌入式對象受限于頁面而嵌入在文檔之中，利用Active X文檔可以在整個客戶區(qū)域中以框架形式顯示。(3) Active X服務(wù)器框架用戶能夠擴(kuò)展網(wǎng)絡(luò)服務(wù)提供的定制網(wǎng)頁，這些定制網(wǎng)頁的內(nèi)容可以來源于數(shù)據(jù)庫或是一 個在服務(wù)器上運(yùn)行的程序。(4) Active X腳本JavaScript、VBScript和其他腳本語言可以連接控件，在網(wǎng)頁中加入交互式功能。腳本功能可以將處理過程從服務(wù)器方移至客戶方。例如，表單內(nèi)容的合法性檢查可以在客戶方完成。(5) HTML擴(kuò)展HTML擴(kuò)展，例如，對象標(biāo)簽已經(jīng)被加入用于支持控件和腳本。2. Active X的安

52、全問題要想安全地使用IE瀏覽器訪問Internet并杜絕Active X惡意地攻擊，就必須首先了解使 用Active X的攻擊方式，然后才能掌握防范Active X攻擊的方法。因?yàn)锳ctive X的強(qiáng)大功能，它可以做很多的事情，它的危害性也就進(jìn)一步加大了。在Active X推出不久人們相繼發(fā)現(xiàn)了Active X的許多副作用，其中最大一個漏洞是用戶通過瀏覽器瀏覽一些帶有惡意的Active X控件，這些控件可以在用戶毫不知情的情況下執(zhí)行Windows系統(tǒng)中任何程序。這將會給用戶帶來很大的安全風(fēng)險，如黑客可以執(zhí)行format c:命令來格式化硬盤。試想一下，如果用戶正在上網(wǎng)，突然屏幕變黑，指示燈狂閃

53、，硬盤亂叫，瞬間用戶的數(shù)據(jù)就消失了，這可不是開玩笑，它真的存在。這是利用了Windows的一個默認(rèn)的Active X控件來完成的，下面的一個例子是利用該控件刪除硬盤C:test.txt文件，代碼如下： scr.Reset();scr.Path=C:WindowsStart MenuProgramstest.hta;scr.Doc=wash.Run(start /m deltree c:/test.txt /Y);alert(IMPORTANT:Windows is removing unused temporary files。);scr.write();下面做一個試驗(yàn)，把這段代碼放入一個HT

54、ML文件中在IE中打開，沒有任何動靜，這就是它的高明所在。這時，它已經(jīng)悄悄的藏在Windows的啟動設(shè)置中了，即是在Windows的啟動設(shè)置“C:WindowsStart MenuPrograms啟動”中做了手腳。當(dāng)用戶重新啟動計算機(jī)時，它會彈出一個警告窗口：“IMPORTANT：Windows is removing unused temporary fi1es?！?Windows正在移走沒有的臨時文件)這是一個騙局，它真正做的是“刪除C:test.txt文件”(這是中文版Windows的代碼，如果是英文版，classid后面的參數(shù)就要作調(diào)整)，如果用戶將代碼中deltree c:/test

55、.txt /Y改成format c:/autotest，就變成了格式化C盤(非常危險，不要試圖這樣做)。漏洞影響的系統(tǒng)包括： Microsoft Windows 9x、Microsoft Windows NT/2000等系統(tǒng)。3. 開發(fā)、發(fā)行Active X 控件的安全與管理Active X安全設(shè)置用于確保 Active X 控件安全地與用戶的計算機(jī)和計算機(jī)數(shù)據(jù)進(jìn)行交互。當(dāng)為Internet 部件下載發(fā)布Active X控件時，必須為控件設(shè)置安全級別。否則，如果簽名的控件發(fā)行后損壞了用戶的計算機(jī)或破壞了用戶的數(shù)據(jù)，開發(fā)者將對此負(fù)法律責(zé)任。這些問題可以通過驗(yàn)證代碼的安全性并作出相應(yīng)的標(biāo)記來解決。

56、Internet 部件下載有兩級安全：設(shè)置初始化安全性和設(shè)置腳本安全性(注意：安全設(shè)置只適用于用 Internet Explorer 進(jìn)行下載的部件)。(1) 設(shè)置初始化安全性當(dāng)將控件標(biāo)記為設(shè)置初始化安全性后，就確保了無論在初始化時使用什么數(shù)據(jù)和腳本，都不會執(zhí)行有損于最終用戶計算機(jī)的操作。一個設(shè)置了初始化安全性的控件不會寫入或修改任何Windows注冊條目、.ini文件或作為初始化參數(shù)結(jié)果的數(shù)據(jù)文件。設(shè)置初始化安全性對控件的方法、運(yùn)行時的屬性或提供給腳本書寫器的信息的安全性沒有要求。在默認(rèn)情況下，Internet Explorer 將顯示一條警告信息，并且不下載沒有標(biāo)記為設(shè)置腳本安全性和設(shè)置初

57、始化安全性的控件。在使用Visual Basic打包和展開向?qū)镮nternet 發(fā)行的軟件打包時，可以將軟件指定為設(shè)置初始化安全性和設(shè)置腳本安全性。(2) 設(shè)置腳本安全性當(dāng)將控件標(biāo)記為設(shè)置腳本安全性時，就確保了沒有任何腳本可以使控件對用戶的計算機(jī)或數(shù)據(jù)造成破壞。標(biāo)記為設(shè)置腳本安全性的控件將不能從用戶的計算機(jī)中獲取未授權(quán)的信息，也不能對系統(tǒng)造成破壞。在將控件標(biāo)記為設(shè)置腳本安全性之前，必須驗(yàn)證該控件不執(zhí)行任何非法行為或不允許可能造成破壞的打開文件的行為。一般來說，能夠自動獲得用戶計算機(jī)中有關(guān)用戶的任何信息并將其展示給腳本書寫器的控件是沒有設(shè)置腳本安全性的。這種看似無害的行為在某些國家和地區(qū)會被視

58、為犯罪特別地，控件的腳本不應(yīng)執(zhí)行以下操作：插入或檢索自定義、腳本的注冊表和.ini文件信息。換句話說就是用戶不能通過腳本來指定插入哪個注冊表或 .ini 文件信息。插入或檢索不屬于控件的注冊表和.ini 文件信息。注意： 控件在發(fā)行時,可以插入和檢索預(yù)先定義只屬于控件的、用于幫助控件管理其內(nèi)部功能的注冊表和 .ini 文件信息。用腳本指定的名稱從硬盤驅(qū)動器上讀取文件。 安全與不安全操作之間的區(qū)別是非常細(xì)微的。例如，總是將信息寫入自己的注冊表條目的Active X 控件可能是安全的，而允許用戶命名條目的控件是不安全的。創(chuàng)建臨時文件時不使用任何初始化或腳本值的控件可能是安全的，但允許初始化時或通過

59、腳本對臨時文件命名的控件是不安全的。在將控件標(biāo)記為設(shè)置腳本安全性之前，建議最好創(chuàng)建文檔來記錄其理由，對此應(yīng)給予同簽訂法律合同一樣的關(guān)注?？梢詫⒃撐臋n包含在控件的.inf文件中。文檔可能包括以下內(nèi)容： 熟悉源代碼和 VBScript 的專家、外部開發(fā)者對控件的評論; 一張列出控件所有顯露的方法、事件和屬性的列表; 一張列出所有打開的文件、使用的 API 調(diào)用、檢索或?qū)懭氲男畔⒌牧斜怼?如果在以上兩種列表的元素之間有任何依賴關(guān)系或數(shù)據(jù)傳送，則控件可能沒有設(shè)置腳本安全性。(3) 安全標(biāo)志的局限性一個標(biāo)記為設(shè)置初始化安全性和設(shè)置腳本安全性的控件在使用時并不一定總是安全的。以上兩節(jié)列出了控件作為初始化或

60、腳本的結(jié)果不能執(zhí)行的操作，但控件在其他時間仍可能執(zhí)行這些不安全操作。例如，假設(shè)創(chuàng)建了一個Active X 控件，該控件在使用了10次以后就對硬盤進(jìn)行重新格式化。該操作并不作為初始化或腳本結(jié)果發(fā)生，因此可以將該控件標(biāo)記為安全。當(dāng)然，寫這樣一個控件的人應(yīng)受到與寫病毒的人同樣的懲罰。開發(fā)者，而不是最終用戶或 HTML 作者，應(yīng)當(dāng)負(fù)有提供足夠安全保證的責(zé)任。如果作為開發(fā)者沒有提供足夠的安全保證，那么他就應(yīng)承擔(dān)法律責(zé)任。軟件安全的最終審核一般是由對該安全問題非常熟悉且經(jīng)驗(yàn)豐富的開發(fā)人員對軟件獨(dú)立評審后完成的。開發(fā)者可能希望將有關(guān)評審的信息包含在下載文件包的.inf文件中。(4) 實(shí)現(xiàn)數(shù)字簽名Intern