學(xué)習(xí)情境三校園網(wǎng)中主要工作的操作系統(tǒng)平臺的配置課件

1、第七章 Web的安全性主要內(nèi)容Web的安全性概述Web服務(wù)器的安全(IIS)腳本語言的安全性CGI 程序的安全性VBScript 語言的安全性JavaScript語言的安全性Web瀏覽器的安全(IE)Web站點(diǎn)安全概述Web站點(diǎn)的五種主要安全問題 1）未經(jīng)授權(quán)的存取動作。 2）竊取系統(tǒng)的信息。 3）破壞系統(tǒng)。 4）非法使用。 5）病毒破壞。（1）網(wǎng)絡(luò)系統(tǒng)的安全漏洞（2）操作系統(tǒng)類安全漏洞（3）應(yīng)用系統(tǒng)的安全漏洞（IIS）（4）腳本的安全漏洞（5）其他安全漏洞返回本節(jié)影響Web站點(diǎn)安全的因素什么樣的平臺對Web服務(wù)器來說更安全？ 1 Windows +IIS 2 Unix+Apache 3 so

2、laris 4 Linux +Apache（Tomcat） 每一個不同的平臺都有其不同的安全含意，但是不能彼此比較安全性。盡管你應(yīng)該注意每個操作系統(tǒng)的安全性，但是這不應(yīng)該成為你選擇平臺的主要標(biāo)準(zhǔn)。 操作系統(tǒng)的選擇選擇一個安全的Web服務(wù)器 在增強(qiáng)服務(wù)器的安全性時，應(yīng)該有三個目的：A.配置你的程序使它只能提供你指定的服務(wù)。B.不到必要的時候不暴露任何信息。C.如果系統(tǒng)遭到入侵，最大限度地減少損壞 IIS 的安全1.安裝時應(yīng)注意的安全問題2.用戶控制的安全性3.登錄認(rèn)證的安全性4.訪問權(quán)限控制5.IP地址的控制6.端口安全性的實(shí)現(xiàn)7.IP轉(zhuǎn)發(fā)的安全性8.SSL安全機(jī)制（SSL安全演示實(shí)驗(yàn)）通過請求

3、一個不存在的擴(kuò)展名為idq或ida得文件，IIS會暴露文件在服務(wù)器上得物理地址. 測試程序： http:/someurl/anything.ida http:/someurl/lunwen/anything.ida或: http:/someurl/anything.idq一個遠(yuǎn)端用戶可以收到類似：The IDQ d:httpanything.idq could not be found的響應(yīng)。這樣的一個響應(yīng)就會讓攻擊者獲得了Web站點(diǎn)的物理路徑，并且還可以獲得更多的有關(guān)該站點(diǎn)在服務(wù)器上的組織與結(jié)構(gòu)。 請求不存在的擴(kuò)展名為idq或ida 文件什么CGI -Common Gateway Inter

4、face 一種基于瀏覽器的輸入、在Web服務(wù)器上運(yùn)行的程序方法。CGI腳本使你的瀏覽器與用戶能交互，為了在數(shù)據(jù)庫中尋找一個名詞，提供你寫入的評論，或者從一個表單中選擇幾個條目并且能得到一個明確的回答。如果你曾經(jīng)遇到過在web上填表或進(jìn)行搜索, 你就是用的CGI腳本。網(wǎng)絡(luò)服務(wù)器開放的構(gòu)造允許任意的CGI腳本可在對遠(yuǎn)程服務(wù)請求有應(yīng)答服務(wù)器上執(zhí)行。安裝在你的網(wǎng)站上任何CGI腳本都含有漏洞，每一個這樣的漏洞都是一個潛在的安全漏洞。CGI語言，如Perl，Php，C，VC+等都可以稱為CGI語言CGI安全一是Web服務(wù)器的安全。 1.Web服務(wù)器軟件編制中的BUG。 2.服務(wù)器配置錯誤。 這可能導(dǎo)致CGI源代碼泄露。 一是CGI語言的安全。ASP安全1、ASP源代碼的泄漏2、密碼驗(yàn)證時的漏洞 3、數(shù)據(jù)類型判斷上的漏洞4、來自filesystemobject的威脅 5、ASP.NET編程時的漏洞Web瀏覽器的安全- 瀏覽器本身的漏洞 緩沖區(qū)溢出漏洞 遞歸Frames漏洞 快捷方式