www安全復(fù)習(xí)公開課一等獎(jiǎng)市優(yōu)質(zhì)課賽課獲獎(jiǎng)?wù)n件

網(wǎng)絡(luò)安全與管理第6章www安全本章學(xué)習(xí)目標(biāo)Web服務(wù)的安全威脅；WWW服務(wù)器的安全漏洞；

如何對(duì)Web服務(wù)器進(jìn)行安全配置；WWW客戶安全性；

SSL協(xié)議原理及使用

安全電子交易-SET原理IPsec網(wǎng)絡(luò)層安全協(xié)議原理6.1WWW安全概述6.1.1WWW服務(wù)6.1.2Web服務(wù)面臨的安全威脅 6.1.2Web服務(wù)面臨的安全威脅由于HTTP協(xié)議允許遠(yuǎn)程用戶對(duì)服務(wù)器的通信請(qǐng)求，并且允許用戶在遠(yuǎn)程執(zhí)行命令，這會(huì)危及Web服務(wù)器和客戶端的安全：電子欺騙；篡改；

否認(rèn)；

信息泄露；

拒絕服務(wù)；

特權(quán)升級(jí)。

6.2WWW的安全問題6.2.1WWW服務(wù)器的安全漏洞 6.2.3ASP與Access的安全性6.2.4Java與JavaScript的安全性 6.2.5Cookies的安全性Windows平臺(tái)主要用IIS做Web服務(wù)器，Linux環(huán)境主要用Apache。IIS上傳攻擊技術(shù)HTTP對(duì)上傳到服務(wù)器上的數(shù)據(jù)長(zhǎng)度一般沒有限制，如果用戶指定一個(gè)非常大的數(shù)值，則導(dǎo)致IIS一直等待接收這些數(shù)據(jù)，直到傳送完成，才會(huì)釋放所占用的內(nèi)存資源。

攻擊者就是利用這種缺陷，向IIS（Web服務(wù)器）發(fā)送大量的垃圾數(shù)據(jù)，導(dǎo)致服務(wù)器的內(nèi)存資源耗盡。6.2.1WWW服務(wù)器的安全漏洞6.2.3ASP與Access的安全性CGI通用網(wǎng)關(guān)接口之后，ASP（ActiveServerPages)作為一種典型的服務(wù)器端網(wǎng)頁(yè)設(shè)計(jì)技術(shù)，被廣泛地應(yīng)用在網(wǎng)上銀行、電子商務(wù)、搜索引擎等各種互聯(lián)網(wǎng)應(yīng)用中。

ASP＋Access解決方案的主要安全隱患來(lái)自：Access數(shù)據(jù)庫(kù)容易被下載的存儲(chǔ)隱患和其數(shù)據(jù)庫(kù)加密機(jī)制簡(jiǎn)單等的安全性問題；其次在于ASP網(wǎng)頁(yè)設(shè)計(jì)過(guò)程中的安全漏洞。6.2.4Java與JavaScript的安全性 Java是Sun公司設(shè)計(jì)的一種編程語(yǔ)言，Java程序有兩種類型：一種是應(yīng)用程序Application，它可以單獨(dú)運(yùn)行，不必借助瀏覽器；一種是小應(yīng)用程序Applet，本身不能單獨(dú)運(yùn)行,可以嵌入網(wǎng)頁(yè)中，借助瀏覽器運(yùn)行，實(shí)現(xiàn)HTML不具備的一些功能。Javaapplet在瀏覽器端執(zhí)行，而不是在服務(wù)器端執(zhí)行，把安全風(fēng)險(xiǎn)直接從服務(wù)器移到了客戶端。6.2.4Java與JavaScript的安全性 JavaScript是Netscape公司設(shè)計(jì)額一種語(yǔ)言，增加了HTML的動(dòng)態(tài)能力。安全性問題：

JavaScript可以欺騙用戶，將用戶的本地硬盤上的文件上載到Internet上的任意主機(jī)；

JavaScript能獲得用戶本地硬盤上的目錄列表，這既代表了對(duì)隱私的侵犯又代表了安全風(fēng)險(xiǎn)；JavaScript能監(jiān)視用戶某段時(shí)間內(nèi)訪問的所有網(wǎng)頁(yè)，捕捉URL并將它們傳到Internet上某臺(tái)主機(jī)中；JavaScript能夠觸發(fā)NetscapeNavigator送出電子郵件信息而不需經(jīng)過(guò)用戶允許；嵌入網(wǎng)頁(yè)的JavaScript代碼是公開的，缺乏安全保密功能。6.2.5Cookies的安全性Cookie是Netscape公司開發(fā)的一種機(jī)制，用來(lái)改善HTTP協(xié)議的無(wú)狀態(tài)性，許多語(yǔ)言都支持該功能。用戶的瀏覽器在Web節(jié)點(diǎn)上的每次訪問都留下與用戶有關(guān)的某些信息，在Internet上產(chǎn)生輕微的痕跡。在這個(gè)痕跡上的少量數(shù)據(jù)中，包含了計(jì)算機(jī)的名字和IP地址、瀏覽器的品牌和前面訪問的網(wǎng)頁(yè)的URL。

瀏覽器都提供一個(gè)選項(xiàng)，可以在服務(wù)器試圖給瀏覽器一個(gè)Cookie時(shí)給出警告。如果打開這個(gè)警告，就可以選擇拒絕Cookie。也可以手工刪除所收集的所有Cookie。

Cookies最典型的應(yīng)用是判定注冊(cè)用戶是否已經(jīng)登錄網(wǎng)站，用戶可能會(huì)得到提示，是否在下一次進(jìn)入此網(wǎng)站時(shí)保留用戶信息以便簡(jiǎn)化登錄手續(xù)，這些都是Cookies的功用。另一個(gè)重要應(yīng)用場(chǎng)合是“購(gòu)物車”之類處理。用戶可能會(huì)在一段時(shí)間內(nèi)在同一家網(wǎng)站的不同頁(yè)面中選擇不同的商品，這些信息都會(huì)寫入Cookies，以便在最后付款時(shí)提取信息。6.3Web服務(wù)器的安全配置6.3.1基本原則6.3.2Web服務(wù)器的安全配置方法 6.3.1基本原則IIS的安裝

不要將IIS安裝在系統(tǒng)分區(qū)上，安裝分區(qū)應(yīng)該設(shè)為NTFS修改IIS的默認(rèn)安裝路徑，修改熟悉IIS的人都知道的默認(rèn)路徑。打上Windows和IIS的最新補(bǔ)丁IIS的安全配置

刪除不必要的虛擬目錄刪除危險(xiǎn)的IIS組件

為IIS中的文件分類設(shè)置權(quán)限刪除不必要的應(yīng)用程序映射保護(hù)日志安全：修改IIS日志默認(rèn)存放路徑，修改日志訪問權(quán)限。6.4WWW客戶的安全6.4.1防范惡意網(wǎng)頁(yè)6.4.2隱私侵犯6.4.1防范惡意網(wǎng)頁(yè)惡意網(wǎng)頁(yè)，是指在網(wǎng)頁(yè)中嵌入了用JavaApplet、JavaScript或者ActiveX（和腳本語(yǔ)言功能類似）設(shè)計(jì)的非法惡意程序。當(dāng)用戶瀏覽該網(wǎng)頁(yè)時(shí)，這些程序會(huì)利用IE的漏洞，進(jìn)行修改用戶的注冊(cè)表、修改IE默認(rèn)設(shè)置、獲取用戶的個(gè)人資料、刪除硬盤文件、格式化硬盤等非法操作。

6.4.1防范惡意網(wǎng)頁(yè)網(wǎng)頁(yè)病毒的癥狀及修復(fù)方法注冊(cè)表被禁用IE主頁(yè)不能修改IE標(biāo)題欄被修改IE默認(rèn)連接首頁(yè)被修改鼠標(biāo)右鍵菜單被添加非法網(wǎng)站廣告鼠標(biāo)右鍵彈出菜單功能被禁用網(wǎng)頁(yè)惡意代碼的預(yù)防

6.4.2隱私侵犯

廣泛使用的因特網(wǎng)技術(shù)已經(jīng)引起了許多個(gè)人隱私方面的問題，它還會(huì)在將來(lái)發(fā)展的過(guò)程中對(duì)個(gè)人自由的許多方面帶來(lái)意想不到的問題。網(wǎng)上數(shù)據(jù)搜集的方法通過(guò)用戶IP地址進(jìn)行通過(guò)Cookies獲得用戶個(gè)人信息Internet服務(wù)提供商收集用戶信息使用WWW欺騙網(wǎng)絡(luò)詐騙郵件等網(wǎng)上數(shù)據(jù)搜集對(duì)個(gè)人隱私可能造成的侵害

6.5SSL技術(shù)6.5.1SSL概述6.5.2SSL體系結(jié)構(gòu) 6.5.3基于SSL的Web安全訪問配置 6.5.1SSL概述SSL(SecureSocketLayer)基本上解決了Web通信協(xié)議的安全問題：利用認(rèn)證技術(shù)識(shí)別身份：客戶機(jī)和服務(wù)器建立連接時(shí)，SSL要求服務(wù)器向客戶提供數(shù)字證書來(lái)驗(yàn)證服務(wù)器端；利用加密技術(shù)保證通道的保密性：采用加密技術(shù)交換會(huì)話密鑰，傳輸?shù)南⒕迷摃?huì)話密鑰加密；利用數(shù)字簽名技術(shù)保證信息傳送的完整性：運(yùn)用單項(xiàng)散列函數(shù)保證消息完整性。6.5.2SSL體系結(jié)構(gòu)SSL的結(jié)構(gòu)SSL位于TCP/IP協(xié)議棧中傳輸層和應(yīng)用層之間，利用TCP協(xié)議提供可靠的端到端安全服務(wù)。SSL不是一個(gè)單獨(dú)的協(xié)議，它又分為兩層。

SSL是個(gè)分層協(xié)議，由兩層組成。SSL協(xié)議的底層是SSL記錄協(xié)議（SSLRecordProtocol），用于封裝各種高層協(xié)議；SSL協(xié)議的高層協(xié)議—用于密鑰交換SSL握手協(xié)議（SSLHandshakeProtocol）、改變密鑰規(guī)格協(xié)議（ChangeCipherSpecProtocol）報(bào)警協(xié)議（AlertProtocol）。SSL協(xié)議的結(jié)構(gòu)1、SSL記錄協(xié)議的工作過(guò)程記錄層：根據(jù)當(dāng)前會(huì)話狀態(tài)給出的參數(shù)，對(duì)當(dāng)前連接中要傳輸?shù)母邔訑?shù)據(jù)實(shí)施壓縮、計(jì)算MAC、加密等操作。長(zhǎng)度不超過(guò)214字節(jié)SSL記錄頭SSL上層協(xié)議中最復(fù)雜的協(xié)議。用來(lái)在客戶端和服務(wù)器真正傳輸應(yīng)用層數(shù)據(jù)之前建立安全機(jī)制。每次握手都存在一個(gè)會(huì)話和一個(gè)連接，連接一定是新的，但回話可能是新的，也可能是已存在的會(huì)話。2、SSL握手協(xié)議SSL建立新的會(huì)話時(shí)的握手過(guò)程：要求驗(yàn)證服務(wù)器時(shí)：包含服務(wù)器證書不驗(yàn)證服務(wù)器時(shí)：包含服務(wù)器公鑰以下通信使用剛協(xié)商好的加密算法和密鑰?；謴?fù)一個(gè)已存在會(huì)話時(shí)的握手過(guò)程SSL客戶端也可以利用已經(jīng)建好的SSL會(huì)話創(chuàng)建新的SSL連接，簡(jiǎn)化握手協(xié)議：客戶A、服務(wù)器BM1:AB:ClientHelloM2:BA:ServerHello,ChangeCipherSpec,FinishedM3:AB:ChangeCipherSpec,FinishedM4:AB:ApplicationDataM5:BA:ApplicationData6.6安全電子交易SET6.6.1網(wǎng)上交易的安全需求6.6.2SET概述 6.6.3SET的雙重簽名機(jī)制 6.6.1網(wǎng)上交易的安全需求保證網(wǎng)上支付和訂購(gòu)消息的保密性保證所有數(shù)據(jù)的完整性持卡人為信用卡賬號(hào)合法用戶的認(rèn)證商戶的身份驗(yàn)證能保護(hù)參與電子商務(wù)的所有合法實(shí)體創(chuàng)建一種不依賴也不阻礙安全傳輸機(jī)制的協(xié)議鼓勵(lì)和促進(jìn)軟件和硬件供應(yīng)商之間的協(xié)作能力6.6.2SET概述

SET（SecureElectronicTransaction）是由VISA和MasterCard兩大信用卡公司于1997年5月聯(lián)合推出的規(guī)范。是一個(gè)安全協(xié)議和規(guī)范的集合，是使用戶能夠在網(wǎng)絡(luò)上以一種安全的方式使用信用卡支付的基礎(chǔ)設(shè)施。它主要可以提供三種服務(wù):在參與交易的各方之間提供安全的通信通道使用X.509v3證書為用戶提供一種信任機(jī)制保護(hù)隱私信息，這些信息只有在必要的時(shí)間和地點(diǎn)才可以由當(dāng)事雙方使用1、SET支付系統(tǒng)的組成持卡人（CardHolder）、商家（Merchant）、發(fā)卡行（IssuingBank）、收單行（AcquiringBank）、支付網(wǎng)關(guān)（PaymentGateway）將Internet傳來(lái)的數(shù)據(jù)包解密，并按照銀行系統(tǒng)內(nèi)部的通信協(xié)議將數(shù)據(jù)重新打包；接收銀行系統(tǒng)內(nèi)部的傳回來(lái)的響應(yīng)消息，將數(shù)據(jù)轉(zhuǎn)換為Internet傳送的數(shù)據(jù)格式，并對(duì)其進(jìn)行加密。即支付網(wǎng)關(guān)主要完成通信、協(xié)議轉(zhuǎn)換和數(shù)據(jù)加解密功能，以保護(hù)銀行內(nèi)部網(wǎng)絡(luò)。認(rèn)證中心（CertificateAuthority）6.6.3SET的雙重簽名機(jī)制雙重簽名是SET中引入的一個(gè)重要的創(chuàng)新，它可以巧妙地把發(fā)送給不同的接收者的兩條消息聯(lián)系起來(lái)，而又很好地保護(hù)了消費(fèi)者的隱私。在電子商務(wù)交易過(guò)程中，消費(fèi)者想把定貨信息發(fā)給商家，把支付信息發(fā)給銀行。商家不需要知道信用卡的詳細(xì)信息，銀行不需要知道訂單的詳細(xì)信息，這兩個(gè)信息保持獨(dú)立可以為消費(fèi)者提供更好的隱私保護(hù)。但是這兩個(gè)信息必須以某種方式聯(lián)系起來(lái)，以在必要的時(shí)候用來(lái)解決糾紛。1、消費(fèi)者生成雙重簽名（雙聯(lián)簽名）OI（orderinformation）訂貨信息PI（paymentinformation）支付信息PIMD=H(PI)OIMD=H(OI)DS=EPRC[H(H(PI)||H(OI))]PRC:消費(fèi)者的私鑰2、商家驗(yàn)證獲得：DS、PIMD、OI、從消費(fèi)者數(shù)字證書中獲得的公鑰PUC計(jì)算H(PIMD||H(OI))計(jì)算DPUC(DS)比較3、銀行驗(yàn)證獲得：DS、PI、OIMD、從消費(fèi)者數(shù)字證書中獲得的公鑰PUC計(jì)算H(OIMD||H(PI))計(jì)算DPUC(DS)比較SSL和SETSSL是保證因特網(wǎng)上數(shù)據(jù)傳輸?shù)陌踩峁┝思用?、認(rèn)證服務(wù)和報(bào)文完整性。SET主要是為了解決用戶、商家和銀行之間通過(guò)信用卡支付的交易而設(shè)計(jì)的，以保證支付信息的機(jī)密、支付過(guò)程的完整、商戶及持卡人的合法身份、以及可操作性。6.7IPsec網(wǎng)絡(luò)層安全協(xié)議

IPsec通過(guò)使用加密的安全服務(wù)以確保在IP網(wǎng)絡(luò)上進(jìn)行保密而安全的通訊。網(wǎng)絡(luò)層保密是指所有在IP數(shù)據(jù)報(bào)中的數(shù)據(jù)都是加密的。

IPsec是一套安全體系包括：鑒別首部AH(AuthenticationHeader)：AH鑒別源點(diǎn)和檢查數(shù)據(jù)完整性，但不能保密。封裝安全有效載荷ESP(EncapsulationSecurityPayload)：ESP比AH復(fù)雜得多，它鑒別源點(diǎn)、檢查數(shù)據(jù)完整性和提供保密。另外還有：Internet密鑰交換IKE（InternetKeyExchange）和因特網(wǎng)安全關(guān)聯(lián)與密鑰管理協(xié)議(ISAKMP)。網(wǎng)絡(luò)層安全協(xié)議鑒別首部協(xié)議AH首部位置IP數(shù)據(jù)報(bào)首部和傳輸層協(xié)議首部之間，主要包括：2.封裝安全有效載荷ESP使用ESP時(shí)，IP數(shù)據(jù)報(bào)首部的協(xié)議字段置為50。當(dāng)IP首部檢查到協(xié)議字段是50時(shí)，就知道在IP首部后面緊接著的是ESP首部，同時(shí)在原IP數(shù)據(jù)報(bào)后面增加