web标准解决方案
- 格式:docx
- 大小:33.54 KB
- 文档页数:19
下载文档原格式
合集下载
Web应用安全解决方案
现代的信息系统, 无论是建立对外的信息发布和数据交换平台, 还是建立内部的业务应用系统,都离不开W eb 应用.W eb 应用不仅给用户提供一个方便和易用的交互手段,也给信息和服务提供者构建一个标准技术开发和应用平台.网络的发展历史也可以说是攻击与防护不断交织发展的过程. 目前, 全球网络用户已近20 亿, 用户利用互联网进行购物、银行转账支付和各种软件下载, 企业用户更是依赖于网络构建他们的核心业务,对此,W eb 安全性已经提高一个空前的高度.然而, 随着黑客们将注意力从以往对网络服务器的攻击逐步转移到了对W eb 应用的攻击上,他们针对W eb 和应用的攻击愈演愈烈,频频得手.根据Gartner 的最新调查,信息安全攻击有75% 都是发生在W eb 应用而非网络层面上. 同时, 数据也显示, 三分之二的W eb 站点都相当脆弱,易受攻击.另外, 据美国计算机安全协会〔CSI 〕/美国联邦调查局〔FBI 〕的研究表明,在接受调查的公司中,2004 年有52% 的公司的信息系统遭受过外部攻击〔包括系统入侵、滥用W eb 应用系统、网页置换、盗取私人信息与拒绝服务等等〕, 这些攻击给269 家受访公司带来的经济损失超过1.41 亿美元, 但事实上他们之中有98% 的公司都装有防火墙.早在2002 年,IDC 就曾经在报告中认为," 网络防火墙对应用层的安全已起不到什么作用了, 因为为了确保通信, 网络防火内 的 W eb 端 口 都 必 须 处 于 开 放 状 态 ."目 前 , 利 用 网 上 随 处 可 见 的 攻 击 软 件 , 攻 击 者 不 需 要 对 网 络 协 议 深 厚 理 解 , 即 可 完 成 诸 如 更 换 W eb 主 页 、 盗 取 管 理 员 密 码 、 破 坏 整 个 数 据 等 等 攻 击 . 而 这 些 攻 击 过 程 中 产 生 的 网 络 层 数 据 , 和 正 常 数 据 没 有 什 么 区 别 .在 W eb 应 用 的 各 个 层 面 ,都 会 使 用 不 同 的 技 术 来 确 保 安 全 性 ,如 图 示 1 所 示 . 为 了 保 证 用 户 数 据 传 输 到 企 业 W eb 服 务 器 的 传 输 安 全 , 通 信 层 通 常 会 使 用 SSL 技 术 加 密 数 据 ;企 业 会 使 用 防 火 墙 和 IDS/IPS 来 保 证 仅 允 许 特 定 的 访 问 , 所 有 不 必 要 暴 露 的 端 口 和 非 法 的 访 问 ,在 这 里 都 会 被 阻 止 .图 示 1 Web 应 用的 安全 防护但 是 , 即 便 有 防 火 墙 和 IDS/IPS, 企 业 仍 然 不 得 不 允 许 一 部 分 的 通 讯 经 过 防 火 墙 , 毕 竟 W eb 应 用 的 目 的 是 为 用 户 提 供 服 务 , 保 护 措 施 可 以 关 闭 不 必 要 暴 露已知 Web服务器漏洞端口扫描应 用 服 务 器数 据 库 服 务 器W eb 服 务 器网络层 模式攻击DoS 攻击的端口,但是W eb 应用必须的80 和443 端口,是一定要开放的.可以顺利通过的这部分通讯, 可能是善意的, 也可能是恶意的, 很难辨别. 而恶意的用户则可以利用这两个端口执行各种恶意的操作,或者者偷窃、或者者操控、或者者破坏W eb 应用中的重要信息.然而我们看到的现实确是, 绝大多数企业将大量的投资花费在网络和服务器的安全上, 没有从真正意义上保证W eb 应用本身的安全, 给黑客以可乘之机. 如图示3 所示,在目前安全投资中,只有10 %花在了如何防护应用安全漏洞, 而这却是75 %的攻击来源.正是这种投资的错位也是造成当前W eb 站点频频被攻陷的一个重要因素.安全风险安全投资图示 2 安全风险和投资Web 应用系统有着其固有的开发特点:经常更改、设计和代码编写不彻底、没有经过严格的测试等,这些特点导致W eb 应用出现了很多的漏洞.另外,管理员对W eb 服务器的配置不当也会造成很多漏洞. 目前常用的针对W eb 服务器和W eb 应用漏洞的攻击已经多达几百种, 常见的攻击手段包括:注入式攻击、跨站脚本攻击、上传假冒文件、不安全本地存储、非法执行脚本和系统命令、源代码泄漏、URL 访问限制失效等.攻击目的包括:非法篡改网页、非法篡改数据库、非法执行命令、跨站提交信息、资源盗链、窃取脚本源程序、窃取系统信息、窃取用户信息等.iGuard 网页防篡改系统采用先进的W eb 服务器核心内嵌技术,将篡改检测模块〔数字水印技术〕和应用防护模块〔防注入攻击〕内嵌于W eb 服务器内部, 并辅助以增强型事件触发检测技术, 不仅实现了对静态网页和脚本的实时检测和恢复, 更可以保护数据库中的动态内容免受来自于W eb 的攻击和篡改,彻底解决网页防篡改问题.iGuard 的篡改检测模块使用密码技术, 为网页对象计算出唯一性的数字水印. 公众每次访问网页时,都将网页内容与数字水印进行对比;一旦发现网页被非法修改, 即进行自动恢复, 保证非法网页内容不被公众浏览. 同时,iGuard 的应用防护模块也对用户输入的URL 地址和提交的表单内容进行检查,任何对数据库的注入式攻击都能够被实时阻断.iGuard 以国家863 项目技术为基础,全面保护的静态网页和动态网页.iGuard 支持网页的自动发布、篡改检测、应用保护、警告和自动恢复,保证传输、鉴别、完整性检查、地址访问、表单提交、审计等各个环节的安全, 完全实时地杜绝篡改后的网页被访问的可能性,也杜绝任何使用W eb 方式对后台数据库的篡改.iGuard 支持所有主流的操作系统,包括:W indows 、Linux 、FreeBSD 、Unix 〔Solaris 、HP-UX 、AIX 〕;支持常用的W eb 服务器软件,包括:IIS 、Apache 、SunONE 、W eblogic 、WebSphere 等;保护所有常用的数据库系统,包括:SQL Server 、Oracle 、MySQL 、Access 等.iW all 应用防火墙〔Web 应用防护系统〕是一款保护W eb 站点和应用免受来自于应用层攻击的W eb 防护系统.iW all 应用防火墙实现了对W eb 站点特别是W eb 应用的保护. 它内置于W eb 服务器软件中, 通过分析应用层的用户请求数据〔如URL 、参数、、Cookie 等〕, 区分正常用户访问W eb 和攻击者的恶意行为,对攻击行为进行实时阻断和报警.这些攻击包括利用特殊字符修改数据的数据攻击、设法执行程序或者脚本的命令攻击等, 黑客通过这些攻击手段可以达到篡改数据库和网页、绕过身份认证和假冒用户、窃取用户和系统信息等严重危害内容安全的目的.iW all 应用防火墙对常见的注入式攻击、跨站攻击、上传假冒文件、不安全本地存储、非法执行脚本、非法执行系统命令、资源盗链、源代码泄漏、URL 访问限制失效等攻击手段都着有效的防护效果.iW all 应用防火墙为软件实现,适用于所有的操作系统和W eb 服务器软件,并且完全对W eb 应用系统透明.应用防火墙是现代网络安全架构的一个重要组成部分, 它着重进行应用层的内容检查和安全防御, 与传统安全设备共同构成全面和有效的安全防护体系.iGuard 支持以下篡改检测和恢复功能:支持安全散列检测方法;可检测静态页面/动态脚本/二进制实体;支持对注入式攻击的防护;网页发布同时自动更新水印值;网页发送时比较网页和水印值;支持断线/连线状态下篡改检测;支持连线状态下网页恢复;网页篡改时多种方式报警;网页篡改时可执行外部程序或者命令;可以按不同容器选择待检测的网页;支持增强型事件触发检测技术;加密存放水印值数据库;支持各种私钥的硬件存储;支持使用外接安全密码算法.iGuard 支持以下自动发布和同步功能:自动检测发布服务器上文件系统任何变化;文件变化自动同步到多个W eb 服务器;支持文件/目录的增加/删除/修改/更名;支持任何内容管理系统;支持虚拟目录/虚拟主机;支持页面包含文件;支持双机方式的冗余部署;断线后自动重联;上传失败后自动重试;使用SSL 安全协议进行通信;保证通信过程不被篡改和不被窃听;通信实体使用数字证书进行身份鉴别;所有过程有详细的审计.iW all 可以对请求的特性进行以下过滤和限制:请求头检查:对报文中请求头的名字和长度进行检查.请求方法过滤:限制对指定请求方法的访问.请求地址过滤:限制对指定请求地址的访问.请求开始路径过滤:限制请求中的对指定开始路径地址的访问.请求文件过滤:限制请求中的对指定文件的访问.请求文件类型过滤:限制请求中的对指定文件类型的访问.请求版本过滤:限制对指定版本的访问与完整性检查.请求客户端过滤:限制对指定客户端的访问与完整性检查.请求过滤:限制字段中含有的字符与完整性检查.鉴别类型过滤:限制对指定鉴别类型的访问.鉴别## 过滤:限制对指定鉴别## 的访问.内容长度过滤:限制对指定请求内容长度的访问.内容类型过滤:限制对指定请求内容类型的访问.这些规则需要可以根据W eb 系统的实际情况进行配置和分站点应用.iW all 可以对请求的内容进行以下过滤和限制:URL 过滤:对提交的URL 请求中的字符进行限制.请求参数过滤:对GET 方法提交的参数进行检查〔包括注入式攻击和代码攻击〕.请求数据过滤:对POST 方法提交的数据进行检查〔包括注入式攻击和代码攻击〕.Cookie 过滤:对Cookie 内容进行检查.盗链检查:对指定的文件类型进行参考域的检查.跨站脚本攻击检查:对指定的文件类型进行参考开始路径的检查. 这些规则需要可以根据W eb 系统的实际情况进行配置和分站点应用.iW all 可以分别为一台服务器上不同的站点制定不同的规则, 站点区分的方法包括:不同的端口.不同的IP 地址.不同的主机头名〔即域名〕.iW all 组合以上限制特性,可针对以下应用攻击进行有效防御:SQL 数据库注入式攻击.脚本源代码泄露.非法执行系统命令.非法执行脚本.上传假冒文件.跨站脚本漏洞.不安全的本地存储.资源盗链.应用层拒绝服务攻击.对 这 些 攻 击 更 详 细 的 描 述 见 本 文 档 第 6 章 : 常 见 应 用 层 攻 击 简 介 .部 署 iGuard 至 少 需 要 两 台 服 务 器 :: 位 于 内 网 中 , 本 身 处 在 相 对 安 全 的 环 境 中 , 其 上 部 署iGuard 的 发 布 服 务 器 软 件 .: 位 于 公 网 /DMZ 中 ,本 身 处 在 不 安 全 的 环 境 中 ,其 上 部 署iGuard 的 W eb 服 务 器 端 软 件 .它 们 之 间 的 关 系 如 图 示 1 所 示 .图示 1 iGuard 两台服务器工nterne发 布 服 务 器 上 运 行 iGuard 的 " " 〔 Staging Server 〕 .所 有 网 页iGuard发布服务器软件Web 服务器工nternet iGuard Web 服务器端软件发布服务器工ntranetDMZ的合法变更〔包括增加、修改、删除、重命名〕都在发布服务器上进行.发布服务器上具有与Web 服务器上的网页文件完全相同的目录结构,发布服务器上的任何文件/目录的变化都会自动和立即地反映到W eb 服务器的相应位置上,文件/目录变更的方法可以是任意方式的〔例如:FTP 、SFTP 、RCP 、NFS 、文件共享等〕. 网页变更后"将其同步到Web 服务器上.发布服务器是部署iGuard 时新增添的机器,原则需要一台独立的服务器;对于网页更新不太频繁的,也可以用普通PC 机或者者与担任其他工作的服务器共用.发布服务器为PC 服务器, 其本身的硬件配置无特定要求, 操作系统可选择Windows 〔一般〕或者Linux 〔大型,需选加Linux 企业发布模块〕.Web 服务器上除了原本运行的W eb 服务器软件〔如IIS 、Apache 、SunONE 、Weblogic 、W ebsphere 等〕外,还运行有iGuard 的"W eb 服务器端软件","W eb 服务器端软件"由"〔SyncServer 〕和"〔AntiTamper 〕组成." "负责与iGuard 发布服务器通信,将发布服务器上的所有网页文件变更同步到Web 服务器本地;" "作为W eb 服务器软件的一个插件运行,负责对W eb 请求进行检查和对网页进行完整性检查, 需要对W eb 服务器软件作适当配置, 以使其生效.Web 服 务 器 是 用 户 原 有 的 机 器 ,iGuard 可 适 应 于 任 何 硬 件 和 操 作 系 统 .目 前 ,大 部 分 都 使 用 了 内 容 管 理 系 统〔CMS 〕来管 理 网 页 产 生 的 全 过 程 ,包 括 网 页 的 编 辑 、审 核 、签 发 和 合 成 等 . 在 的 网 络 拓 扑 中 , 部 署 在 原 有 的 和之 间 , 图 示 2 表 明 了 三 者 之 间 的 关 系 .图 示 2 标 准 部 署 图为 一 个 已 有 的 W eb 站 点 部 署 iGuard 时 ,W eb 服 务 器 和 内 容 管 理 系 统 都 沿 用 原 来 的 机 器 , 而 需 要 在 其 间 增 加 一 台 .iGuard 的 自 动 同 步 机 制 完 全 与 内 容 管 理 系 统 无 关 的 , 适 合 与 所 有 的 内 容 管 理 系 统 协 同 工 作 , 而 内 容 管 理 系 统 本 身 无 须 作 任 何 变 动 .发 布 服 务 器 上 具 有 与 Web 服 务 器 上 的 文 件 完 全 相 同 的 目 录 结 构 , 任 何 文 件 /目 录 的 变 化 都 会 自 动 映 射 到 W eb 服 务 器 的 相 应 位 置 上 .网 页 的 合 法 变 更 〔 包 括 增 加 、 修 改 、 删 除 、 重 命 名〕 都 在 发 布 服 务 器 上 进 行 , 变 更 的 手 段 可 以 是 任 意 方 式 的 〔 例 如 : FTP 、 SFTP 、 RCP 、 NFS 、 文 件 共 享 等 〕. 网 页 变 更 后 ,发 布 服 务 器 将 其 同 步 到 W eb 服 务 器 上 . 无 论 什 么 情 况 下 ,不 允 许 直 接 变 更 W eb 服 务 器 上 的 页 面 文 件 .内容管理系统 <第三方软件>Web 服务器发布服务器InternetiGuard 一般情况下与内容管理系统分开部署, 当然它也可以与内容管理系统部署在一台机器上,在这种情形下,iGuard 还可以提供接口,与内容管理系统进行互相的功能调用, 以实现整合性更强的功能.Web 站点运行的稳定性是最关键的.iGuard 支持所有部件的多机工作和热备:可以有多台安装了iGuard 防篡改模块和同步服务软件的W eb 服务器,也可以有两台安装了iGuard 发布服务软件的发布服务器,如图示4 所示. 它实现了2Xn 的同步机制〔2 为发布服务器,n 为Web 服务器〕, 当 2 或者n 的单点失效完全不影响系统的正常运行,且在修复后自动工作.Web 服务器1发布服务器<主>……内容管理系统主备通信……Web 服务器nDMZ发布服务器<备> 工ntranet图示 3 集群和双机部署示意图iGuard 发布服务器支持 1 对多达64 台W eb 服务器的内容同步, 这些W eb 服务器的操作系统、W eb 服务器系统软件、应用脚本与网页内容既可以相同也可以不同.iGuard 实现了异种系统架构下对不同内容的统一管理.当多台W eb 服务器作镜像集群时,iGuard 对于能够严格保证多台Web 服务器内容相同. 当单台W eb 服务器失效时, 由于Web 服务器集群前端通常有负载均衡设备, 因此, 它并不影响公众访问. 同时, 它的失效也不影响iGuard 发布服务器向其他正常工作的Web 服务器提供内容同步.在失效期间,iGuard 发布服务器会尝试连接这台Web 服务器, 一旦它修复后重新工作, 即可自动进行连接, 并自动进行内容同步.因此,W eb 服务器的单点失效不影响系统的完整性, 并且在系统恢复时不需要对其余机器作任何手工操作.iGuard 支持发布服务器双机协同工作, 即一台主发布服务器和一台热备发布服务器.在这种部署情形下, 内容管理系统〔CMS 〕需要将内容同时发布到两台iGuard 服务器上. 在正常状态下,iGuard 主发布服务器工作, 由它对所有W eb 服务器进行内容同步. 显然, 热备发布服务器失效不影响系统运作, 一旦在它修复后可以从主发布服务器恢复数据, 进入正常热备状态. 主发布服务器如果失效〔即不发心跳信号〕, 热备发布服务器会接管工作, 由它对所有Web 服务器进 行 内 容 同 步 . 当 主 发 布 服 务 器 修 复 后 , 两 机 同 时 工 作 , 经 过 一 段 时 间 的 数 据 交 接 时 间 , 热 备 发 布 服 务 器 重 新 进 入 热 备 状 态 .因 此 ,iGuard 发 布 服 务 器 的 单 点 失 效 也 不 影 响 系 统 的 完 整 性 ,并 且 在 系 统 恢 复 时 不 需 要 对 其 余 机 器 作 任 何 手 工 操 作 .iW all 由 以 下 两 个 模 块 组 成 :应 用 防 护 模 块 .iW all 的 核 心 防 护 模 块 , 内 嵌 于 Web 系 统 〔 W eb 服 务 器软 件 〕 中 , 与 W eb 服 务 器 一 起 运 行 .配 置 管 理 模 块 .iW all 的 配 置 生 成 程 序 ,在 独 立 管 理 员 机 器 上 运 行 ,仅 在系 统 管 理 员 需 要 改 变 iWall 配 置 时 才 使 用 .两 者 之 间 没 有 通 信 连 接 .仅 通 过 一 个 配 置 文 件 交 换 数 据 , 即 :配 置 管 理 模 块 生 成 一 个 配 置 文 件 ,将 它 复 制 到 W eb 服 务 器 上 供 应 用 防 护 模 块 使 用 . 它 们 的 关 系 如 图 示 5-1 所 示 .图示 二4 部署示意图iWall应用防护模块Web 服务器iWall配置管理模块管理员用机配置文件采取这种配置方式的优点在于:避免直接在W eb 服务器上修改配置,不给黑客可乘之机.避免在W eb 上新开管理网络端口,不增加新的安全隐患.在多个W eb 服务器镜像时,可以快速生成统一配置."## ×× "目前的网络拓扑图如图示4 所示.Web 服务器双机内容管理系统n图示 5 系统现状拓扑图Web 内容既有全静态站点,也有动态应用站点;Web 服务器的操作系统为Sun Salaris ;目 前 这 个 系 统 在 网 页 内 容 方 面 存 在 如 下 安 全 隐 患 :网 页 篡 改 : 没 有 部 署 网 页 防 篡 改 系 统 ,静 态 网 页 一 旦 被 黑 客 篡 改 , 没 有检 查 、 报 警 和 恢 复 机 制 .应 用 防 护 : 没 有 应 用 防 护 机 制 ,容 易 遭 受 各 类 web 攻 击 ,例 如 注 入 式 、跨 站 、上 传 假 冒 文 件 、不 安 全 本 地 存 储 、非 法 执 行 脚 本 、非 法 执 行 系 统 命 令 、 资 源 盗 链 、 源 代 码 泄 漏 、 URL 访 问 限 制 失 效 等 ."## ×× "部 署 W eb 应 用 安 全 产 品 的 网 络 拓 扑 图 如 图 示 5 所 示 .图示 6部署拓扑图发布服务器<主> Web 服务器双机iWall 配置管理模块发布服务器<备>DMZ 工ntranet内容管理系统主备通信增加:新增一台PC 服务器〔iGuard 发布服务器〕, 其上部署iGuard 发布服务器软件以与iWall 配置管理模块.增加:在W eb 服务器上部署iGuard 同步服务器和防篡改模块以与iW all 应用防护模块,并开放指定端口.变更:CMS 内容管理系统的目标发布地址由各W eb 服务器改为iGuard 发布服务器.双机部署〔可选〕:为避免单点失效, 两台iGuard 发布服务器可以作双机部署.1) CMS 内容管理系统将网页文件发布到iGuard 发布服务器上.2) iGuard 发布服务器检测到文件变化, 生成数字水印, 将这些文件和数字水印发布到W eb 服务器上.3) Web 服务器接收到这些文件,并将水印存放在安全数据库中.1) 公众浏览网页.2) 如果是动态应用, 防篡改模块对提交内容进行检查, 如果是注入攻击,则请求不交给W eb 应用处理,直接返回错误.3) Web 服务器取得网页内容后,交给防篡改模块进行检测.4) 防篡改模块计算出这个网页的数字水印, 并与安全数据库中的数字水印相比对.5) 如 果 水 印 比 对 失 败 即 表 明 当 前 网 页 已 被 篡 改 , 系 统 通 知 发 布 服 务 器 重新 发 布 网 页 到 W eb 服 务 器 〔 自 动 恢 复 〕 , 同 时 向 监 管 者 报 警 .网 页 防 篡 改 : 任 何 对 Web 服 务 器 上 的 非 法 网 页 篡 改 将 在 网 页 浏 览 时被 检 测 出 来 ,并 得 到 实 时 报 警 和 恢 复 .应 用 防 护 : 各 类 常 见 针 对 web 应 用 的 攻 击 都 将 被 即 时 阻 止 .iGuard 标 准 版 SolarisiW all 标 准 版 Solaris多 CPU 支 持多 线 程 发 布Linux双 机 主 备 工 作 ,提 供 容 错 能 力 ,避 免 单 点 失 效8 线 程 发 布 ,大 幅 提 升 发 布 速 度发 布 服 务 器 采 用 Linux 系 统 ,提 高 可 靠 性支 持 多 处 理 器 水 印 计 算双 机1。
WEB考勤机系统解决方案(优选.)
最新文件---------------- 仅供参考--------------------已改成-----------word文本 --------------------- 方便更改WEB考勤机系统解决方案系统介绍K200在线式WEB指纹考勤机是基于业界领先的多媒体ZEM500系列开发平台,针对WEB环境设计生产的支持B/S架构的高端指纹考勤机。
采用高清晰国际品质液晶屏,内嵌Linux系统的自助式身份识别终端,光学系统采用了全新防抖设计,保证指纹图像更加清晰有效,可用U盘下载考勤记录,具有定时定人发送对公对私的短消息功能,在接口方面不仅标准配制了TCP/IP接口,而且配置了支持Client模式的USB接口,使得接口技术与IT技术的发展同步,数据传输速度是RS232方式数倍以上,另外标准配置的TCP/IP网络接口,支持跨网段。
由于采用了全球主流的Linux系统,网络传输稳定可靠,每一台设备均有合法授权的唯一MAC地址,适合在复杂的网络环境中使用。
系统特性■高效率指纹识别算法光学系统采用全新防抖设计,保证指纹图像更加清晰有效;指纹识别算法采用了最新Biokey VX8.0版高速混合引擎指纹识别算法,大大加快了识别速度。
■汉字输入支持T9输入法,可以直接通过机器键盘输入汉字。
■标配TCP/IP网络接口,支持跨网段连接稳定的基于Linux系统的TCP/IP设计,使得跨网段、复杂环境的网络连接轻松实现。
■支持USB-Device高速下载采用USB高速下载,使得接口技术与IT技术发展同步,数据传输速度是RS232方式数倍以上。
■U盘和短消息功能可用U盘下载考勤记录和上传员工信息,具有定时定人发送对公对私的短消息功能。
■定时响铃功能集成到指纹机中,不但可以节省成本,而且方便管理,可以设定响铃时长和响铃时间段。
■支持手指360度识别,易用性能良好。
■光学采集器“增强膜”,提高图像质量,接受干、湿手指。
■CMOS自动曝光和智能补偿,增强图像质量。
常见Web漏洞描述及加固建议
Padding Oracle
高
</configuration> error.html 需自己创建。 [3] 限制能连接数据库的 IP 范围。
不安全 HTTP 方 法未禁用
高
漏洞描述:WebDAV (Web-based Distributed Authoring and Versioning) 一种基于 HTTP 1.1 协议的通信协议。它扩展 了 HTTP 1.1,在 GET、POST、HEAD 等几个 HTTP 标准方法以外 添加了一些新的方法,使应用程序可直接对 Web Server 直接 读写,还可以支持文件的版本控制。不合理的权限配置导致任 意用户可以通过 PUT 方法直接上传任意文件到有写权限的目 录,例如攻击者可上传 WebShell,从而控制网站。 解决方案: [1] 限制 PUT、DELETE、SEARCH、COPY、MOVE 等危险的方法的 访问权限 [2] 如果不需要使用上述方法,应关闭方法 漏洞描述: 由于配置问题或代码问题访问目标出错时返回默认 错误信息,可能包含 SQL 语句、Web 应用的物理路径、应用的 版本信息等等。攻击者可以通过这些信息来进行下一步的攻 击。 漏洞地址:
CVS 信息泄露
中 漏洞地址: 解决方案: [1] 配置敏感文件的访问权限 [2] 或移除敏感文件到非 Web 应用的目录 漏洞描述:SVN 是 Subversion 的简称,是一个开放源代码的 版本控制系统,相较于 RCS、CVS,它采用了分支管理系统, 它的设计目标就是取代 CVS。主要用于在多人开发环境下的源 码的维护,SVN 目录如果被非法访问,攻击者可通过该目录获 取敏感信息,如网站服务器端源代码,从而利用这些信息进一 步进行攻击。 漏洞地址: 解决方案: [1] 配置敏感文件的访问权限 [2] 或移除敏感文件到非 Web 应用的目录 漏洞描述:远程服务器的 SSL 证书已经过期。远程服务使用 SSL 进行通信有助于帮助用户识别所访问的是否经过认证的 网站。如果证书已过期,浏览器会给出相应警告提示,用户点 击确认后可继续访问。如果通信流量被监听,也会提示证书存 在问题。此时如果用户没注意到,而习惯性关闭警告窗口,导 致通信流量被监听而未发觉。 解决方案:
PowerBuilder应用向Web发布的解决方案
Abs r t tac :Thi a e n rduc we Buid ra lc to o t eb de ly e ts l to h tma we Buid rd v l p r s p p ri to sPo r l e pp iai n t he W p o m n o u in ta ke Po r l e e e o e c u d de l p C/ pp ia in,c u d de eo i ky po rulB/ pp ia in t o o l veo S a lc to o l v l p qu c l we f S a lc to o .
1 引言
大多数企业认 识到将 CS应用迁 移至 We / b是企 业发展进
程 中 的 当 务之 急 。然 而 ,将 P w r ule 开 发 的 CS应 用 重 新 o eB i r d / 架 构 为 We b应 用 不 仅 耗 时 巨 大 ,而 且需 要 P w rule 开 发 o eB i r d 人 员 学 习 新 的 技 术 。根 据 应 用 架 构 的 特 性 ,P w rule 应 用 o eB i r d 的 原 有 的 窗 口和 D tWi o 可 能 需 要 逐 一 重 写 。 除 此 之 外 , aa n w d
A p o e e bC m o et 括 JvSr t H ML p enS r rWe o pn n 包 v aaci 、 T 、X p ML 和一个 A te c vX插 件 。 i
24 建 立 配 置 文 件 .
2 解 决方 案
21 应 用 架构 .
应用 具有 标准 的 N层 We b架构 ,即表 现层 、中 间层 和数
简单 易用 ,开发人 员只需 掌握 P w rule 开发 技能 就可 以 o eB i r d 将新 开发的 P w rule 应用转 为 We o eB i r d b应用 ,也 可以将 已有
1 引言
大多数企业认 识到将 CS应用迁 移至 We / b是企 业发展进
程 中 的 当 务之 急 。然 而 ,将 P w r ule 开 发 的 CS应 用 重 新 o eB i r d / 架 构 为 We b应 用 不 仅 耗 时 巨 大 ,而 且需 要 P w rule 开 发 o eB i r d 人 员 学 习 新 的 技 术 。根 据 应 用 架 构 的 特 性 ,P w rule 应 用 o eB i r d 的 原 有 的 窗 口和 D tWi o 可 能 需 要 逐 一 重 写 。 除 此 之 外 , aa n w d
A p o e e bC m o et 括 JvSr t H ML p enS r rWe o pn n 包 v aaci 、 T 、X p ML 和一个 A te c vX插 件 。 i
24 建 立 配 置 文 件 .
2 解 决方 案
21 应 用 架构 .
应用 具有 标准 的 N层 We b架构 ,即表 现层 、中 间层 和数
简单 易用 ,开发人 员只需 掌握 P w rule 开发 技能 就可 以 o eB i r d 将新 开发的 P w rule 应用转 为 We o eB i r d b应用 ,也 可以将 已有
Web认证方案说明
Web认证接入方案说明目录目录 (2)1.爱立信DHCP+WEB认证原理 (3)1.1.WEB 认证方案概述 (3)1.1.1.系统部署图 (3)1.1.2.W EB认证/登出流程 (4)1.2.NPM 与WEB PORTAL 服务器的沟通机制 (6)2.苏州移动WEB认证建议方案 (9)2.1.方案一:使用SE800作为DHCP服务器 (9)2.1.1.用户上网认证的步骤如下: (9)2.1.2.用户登出过程: (10)2.1.3.SE800的配置 (10)2.1.4.对其他系统的要求 (12)2.2.方案二:SE800作为DHCP PROXY,使用广电DHCP SERVER (12)2.2.1.用户上网认证的步骤如下: (13)2.2.2.用户登出过程: (13)2.2.3.SE800的配置 (14)2.2.4.对其他系统的要求 (15)3.总结 (15)1. 爱立信DHCP+Web 认证原理 1.1. Web 认证方案概述1.1.1. 系统部署图Ericsson 的Web 认证方案基于SE800 BRAS 和策略管理服务器NPM 系统实现。
下图是Web 认证涉及的各单元的关系图。
PRODUCT AREA PACKET NETWORKSUNIFYINGFIXED AND MOBILE NETWORKSPortal说明:用户的DHCP 请求必须通过SE800,用来确定用户的上下线,并且可以防止地址盗用的问题。
如果DHCP 请求不经过SE800,则无法确定用户上下线,也很难防止用户地址盗用的问题DHCP 服务器可以外置,也可以使用SE800内置服务器在三层连接时,配置DHCP Relay ,使得DHCP 请求需要经过SE800整个组网方案元件包括◆ 用户:使用DHCP 获得IP 地址的用户 ◆ 接入网:二层网络或者支持DHCP Relay 的三层网络 ◆ 宽带接入服务器SmartEdge 800。
门户网站解决方案
门户网站解决方案一、背景介绍门户网站是指集中展示各类信息的网站,通常具备多种功能,如新闻发布、信息展示、用户交互等。
随着互联网的发展,门户网站在各个领域得到广泛应用,成为组织机构、企业以及政府部门与公众交流的重要平台。
本文将详细介绍门户网站的解决方案,包括技术架构、功能模块和用户体验等方面。
二、技术架构1. 前端技术门户网站的前端技术应该注重用户体验和页面性能。
常用的前端技术包括HTML5、CSS3和JavaScript等。
HTML5提供了丰富的标签和API,可以实现更多的交互效果和多媒体展示。
CSS3可以实现页面的样式美化和动画效果。
JavaScript可以实现页面的动态交互和数据处理。
2. 后端技术门户网站的后端技术应该具备高性能、高可用和扩展性。
常用的后端技术包括Java、Python和PHP等。
Java是一种跨平台的编程语言,具备强大的生态系统和稳定性。
Python是一种简洁易学的编程语言,适合快速开辟和原型验证。
PHP是一种广泛应用于Web开辟的脚本语言,具备较高的开辟效率。
3. 数据库技术门户网站的数据库技术应该具备高性能和可扩展性。
常用的数据库技术包括MySQL、Oracle和MongoDB等。
MySQL是一种开源的关系型数据库,具备较高的性能和稳定性。
Oracle是一种商业化的关系型数据库,适合大型门户网站的应用。
MongoDB是一种面向文档的NoSQL数据库,适合处理大量的非结构化数据。
三、功能模块1. 用户注册和登录门户网站应该提供用户注册和登录功能,以便用户可以享受个性化的服务和参预互动。
用户注册需要验证用户身份,并保存用户的基本信息。
用户登录需要验证用户的身份和密码,并提供安全的会话管理。
2. 新闻发布和展示门户网站应该具备新闻发布和展示功能,以便及时向用户提供最新的信息。
新闻发布需要提供编辑界面和富文本编辑器,以便编辑人员可以方便地发布新闻内容。
新闻展示需要提供分类、搜索和分页等功能,以便用户可以方便地查找和阅读新闻。
中控科技Web考勤管理系统解决方案
中控科技WEB考勤管理系统解决方案版本:ZKNet9.0ZK Software inc.北京佳帆远航科技有限公司目录第一章中控科技WEB考勤系统概述31. 概述32. 系统架构说明33. 名词解释5第二章WEB考勤系统整体介绍62.1 系统简介62.2 客户需求62.3 建议方案62.4 系统组成72.5 系统层次82.6 系统运行环境及软硬件配置8第三章硬件系统介绍93.1 指纹考勤机93.1.1 指纹考勤介绍错误!未定义书签。
3.1.2 指纹硬件系统特色错误!未定义书签。
第四章软件介绍104.1 软件系统特色104.1.2 易用性104.1.3 可靠性114.1.4 可维护性114.2软件界面第一章中控科技WEB考勤系统概述1. 概述中控科技WEB考勤系统,是中控科技公司结合多年的考勤系统开发经验,针对目前越来越多的跨区域的企事业单位,希望实现总部统一部署,统一平台,实时信息同步,分布式管理,集中监控的需求,于06年开发的B/S架构的考勤管理系统,配套中控最新的生物识别技术产品指纹网络考勤机,智能卡网络考勤机。
中控科技WEB考勤系统,针对多用户多点跨区域等特点,除了日常考勤管理的功能,更着重加强了安全性、实时性、易用性、扩展性方面。
从安全性方面,中控科技WEB考勤管理系统采用多级用户多级权限的管理方式,不同级别的用户能操作不同的功能,管理制定部门的人员。
所有的终端数据采用加密传输的方式,不能被识别和修改,保证数据的真实性。
从实时性方面,中控科技的考勤设备采用直接TCP/IP通讯,所有数据实时上传到服务器,特殊情况可以通过U盘的方式将设备里的数据导入数据库。
所以人员的操作、管理、查询都是从统一的数据库访问,保证数据的实时性、统一性。
从灵活性方面,中控科技的WEB考勤提供多种人员录入(导入)、多套考勤制度设置、多种异常考勤处理、个人查询、部门查询、统计查询等查询方式,适合于多种方式的管理需求,如个人查询登记、管理员审核等。
WebLIVE视频直播解决方案
WebLIVE视频直播解决方案
一、系统概述
远古WebLIVE视频直播系统是基于Web应用的全新视频直播系统,它综合了计算机网络技术和视频技术的优点,采用最先进的MPEG-4编解码技术,服务器端进行实时编码压缩,客户端进行实时解码、实时播放。
在保证图象的质量的前提下,大大缩减了视频所占的带宽。
同时它也支持在直播的同时把采集到的信号录制成MPEG-4格式的文件。
广泛适用于政府部门办公、企业视频应用、军事训练、各类校园网、多媒体教学、多媒体直播、电子阅览室、学校的图书馆、各类综合性图书馆以及电信多媒体公用信息网、酒店、宾馆、智能小区等。
二、网络架构
三、方案优势
1、采用标准的B/S构架,完全基于Web方式,可运行于Intranet、Internet。
2、采用最先进的MPEG-4编解码技术,既保证了图象的质量,又大大缩减了视频所占的带宽,不影响网络的其它使用。
3、采用多级线程池、动态IP绑定、同步侦听等先进技术,服务器端进行实时编码压缩,客户端进行实时解码、实时播放,充分保证系统拥有最短的延时性。
4、采用独创的组播衍发技术,支持无限的级联。
全面实现跨广域网直播的支持。
5、支持在直播的同时将采集到的信号实时录制成MPEG-4格式的文件。
6、支持多种格式的文件直播。
7、支持最大范围内的采集设备(该设备的驱动支持DirectX便可)。
8、支持服务器一机多卡,支持客户端多频道选择。
9、支持收看权限的管理,可以允许或限制指定客户端进行节目收看。
10、支持文字及图像字幕。
学习HTML+CSS的书籍推荐
学习HTML+CSS的书籍推荐1、《CSS那些事⼉》本书专注于CSS技巧实例的讲解,由浅⼊深地分析了CSS样式在布局时所需要理解的原理。
绕开随处可见的基础知识、⽹络中能随意搜索到的hack技巧,侧重原理分析,拓展读者使⽤CSS布局的思维⽅式,通过本书的阅读读者将会了解到使⽤CSS布局的强⼤功能。
全书以传达CSS布局思维为中⼼,通过页⾯中的⽂字、图⽚、表格、表单等常见元素的处理及各种页⾯布局⽅式的使⽤,使读者能深⼊了解到如何在页⾯中更好地运⽤CSS布局。
尤其是在页⾯布局的部分中,全⾯分析了多种布局⽅式,着重分解了两列等⾼和三列等⾼的⼏种⽅式,并相应说明了等⾼布局的优缺点。
⽆论是CSS布局的初学者还是具有⼀定⽔准的读者,阅读本书之后将会发现,原来CSS样式居然是这么好玩的东西。
本书适合⽹站开发⼈员、⽹页设计⼈员参考学习,同时也适合作为相关培训机构的教材。
2、《Head First HTML and CSS 2nd Edition》《Head First HTML5》这两本应该都有翻译,但是建议看原版3、《Eric Meyer谈CSS》(上下册)《Eric Meyer谈CSS(卷1)》融汇了世界级专家Eric Meyer极富价值的CSS实战经验,运⽤13个典型实际项⽬,采取⼿把⼿的⽅式来指导读者如何使⽤CSS来解决实际问题。
项⽬包括转换现有⽹页、设置新闻⽹页的样式、设置⽇历样式、设置菜单样式、创建打印样式多列布局等。
4、《CSS禅意花园》这本书的作者是世界著名的⽹站设计师,书中的范例来⾃⽹站设计领域最著名的⽹站——CSS Zen Garden(CSS禅意花园)。
全书分为两个主要部分。
第1章为第⼀部分,讨论⽹站“CSS禅意花同”及其最基本的主题,包含正确的标记结构和灵活性规划等。
第⼆部分包括6章,占据了书中的⼤部分篇幅。
每章剖析“CSS禅意花园”收录的6件设计作品,这些作品围绕⼀个主要的设计概念展开,如⽂字的使⽤等。
移动端Web开发中的跨域问题解决方案
移动端Web开发中的跨域问题解决方案随着移动互联网的普及,越来越多的网站和应用程序都需要使用移动端Web开发技术。
然而,由于移动设备的特殊性质,移动端Web开发中会遇到一些难以避免的跨域问题。
本文将介绍常见的移动端Web跨域问题及其解决方案。
一、什么是跨域问题?在Web开发中,每个网站或应用程序都有其独立的域名。
当浏览器发起一个请求时,其所在的域名就会被认为是“来源域”。
源站点发出的ajax请求和XMLHttpRequest对象只能访问相同来源的资源。
如果我们需要在客户端请求一个跨域的资源,便会产生跨域问题。
二、常见的跨域问题1.图片不可跨域在Web中,在不同站点间传递图片是一种很常见的方式。
但由于浏览器的同源策略,图片资源只能由与页面同一域名的服务器上吐出来。
2.字体文件不可跨域对于许多Web应用程序来说,字体文件是必需的资源。
字体文件无法在多个站点之间共享,因为它们无法实现跨域请求。
3.ajax请求的跨域问题您无法使用ajax在不同的域名或端口之间进行通信。
例如,在与页面访问相同的主机的不同端口上运行Web服务时,可能会引发跨解决问题。
4.跨域脚本不能读回调函数中的内容JSONP是一种解决跨域问题的常见方式,但由于对回调的限制,无法读取回调函数的所有内容。
三、解决跨域问题的方案以下是七种常见的解决跨域问题的方法。
1. 使用JSONPJSONP是一种解决跨域问题的常见手段。
它支持使用替代的、可允许跨域访问的脚本文件来返回响应。
2. 使用代理如果您遇到了不能够直接访问其他站点上的资源的问题,那么您可以使用代理服务器,用它来存储您捕获的请求与响应。
3. 使用YQL通常来讲,YQL是一个允许任何人查询Web数据的API。
它不仅可以帮助您解决跨域问题,还能为您节省大量编码时间。
4. 使用CORSCORS(跨域资源共享)是一种标准化的跨域解决方案。
它允许Web应用程序使用一组HTTP头来告诉浏览器是否许可跨域请求。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
web标准解决方案篇一:web标准我总是对每一个想学CSS的朋友说: “学CSS真的很简单,一个星期就搞定。
”但真的这么简单吗?魔方也很简单,拿到手里就知道怎么玩了,但最高境界却不是几天或几个月就能修成的,甚至根本就不可能达到,永远需要提高,看似痛苦,同时也享受升华的乐趣,CSS也一样,痛并快乐指的就是这些东西吧。
本文里面收集一些有关CSS的技巧、教程、工具和观点等,其中一些你也许早就运用的炉火纯青,也可能有的你听都没听说过。
不管是新手还是高手,大家都继续学习吧。
一,Web 标准要玩游戏,就得先了解规则。
要学CSS,就应该先了解一下Web标准。
尽管看上去不是必须的。
应该说,你是否学Web标准,跟你是否能学会CSS没有什么关系,但跟你能写出什么样的CSS,以及Xhtml或其它代码,跟你能做出什么质量的网页有很大的关系。
其实我自己对Web标准也不甚了解,尽管我看过不少关于Web标准的文章和书。
,所以每次谈到Web标准,我头里就会有一堆问号:Web标准真的有利于吗? Web标准的动机难道就是SEO出于SEO动机的Web标准是否会失去一些Web标准真正的本质如何才算符合Web标准仅仅是通过W3C的代码验证,你就觉得自己符合Web标准了?Web标准是为了提升用户体验,而一个对用户友好的网站其代码应该写得非常简洁实用,而一个使用简洁实用代码的网站是有利于SEO的。
这个逻辑似乎合情合理,但在实际运用中却又总有这样那样的冲突我们应该把Web标准看成一份”道德约束”还是”法律强制”呢我个人比较乐意看成前者,努力靠拢就好了,但没必要为了标准而标准,自己为难自己。
你已经花了50%的时间完成了一个项目的90%,如果余下的10%又需要你花50%的时间去弄,是否值得尤其是这种情况发生在: 你的90%已可以让用户在各个浏览器下正可常浏览,而那10%仅仅是为了通过W3C代码验证。
这时候你或许该考虑下,你千辛万苦的通过W3C验证是为了符合Web 标准还是为了满足自己小小的虚荣心特喜欢跟别人争论”DIV+CSS”的说法是错误的,应该是”XHTML+CSS”,你有没有做过类似这样的事儿还打心里为自己科学家般严谨的态度而感到自豪。
但事实上,叫”DIV+CSS”的人,没有哪个傻到整个页面的元素都使用DIV。
这就像当你说”吃饭”时,你也不光是吃白花花的大米。
呃,本来只是想随便写点文章引语,闲扯太多了,还是看看下面这些有关Web标准的东西吧,有助于你了解这个东西。
一些有Web标准的文章什么是Web标准?对Web标准的理解 | CSS森林 ) |Web 标准和网站重构 Web标准要求一览表。
验证HTML,CSS及RSS源的14个免费工具这篇译文里介绍了14个工具可以方便的验证你的CSS 以及HTML和RSS源。
你别看我上面说了一堆看似反验证的话,其实我也挺在乎这个东西的,我也每次都玩验证,只是当碰到很难解决无关痛痒的东西时,我不会为难自己。
我只是想告诉你,别对自己太苛求了,别让自己太累。
二, CSS布局和定位我不是什么Web前端观察家,我个人发现的两个可能并不正确的网页布局趋势是: 两栏和水平条。
说两栏是趋势似乎有点唬烂,两栏本身就是最基本最常用的布局,但之所以成为更加流行的网页设计趋势得益于Web 的流行,你很少会看到一个Web 网站把自己做成门户般的杂志型布局,大家都力求简洁。
当然,在国内,还是有很大一部份个人站长和企业喜欢把自己的网站挤得密密麻麻,Magazine的非常厉害。
这恐怕也不能说谁前卫谁落后,好的Magazine布局确实能让人产生一个感觉或错觉: 这个网站很专业,做的很大,很优。
我个人是希望简洁两栏真的能成为趋势,每次进入门户型布局的非门户级网站时,就感觉自己掉进了一堆链接的海洋里。
水平条成为趋势则源于宽屏浏览器的普及,它能让你的网页不管在各种宽屏分辨率下显得协调美观。
比如帕兰映像的网页主体是960像素固定宽度,我的电脑分辨率是1440*990像素,如果没有水平条,总感觉网页太空,尽管留白也是一种设计技巧,但并不是这样的留白。
尽管还有另一种解决方案是自适应宽度,但我个人觉得,对于大多数网站来说,自适应宽度并不是一个好方法,它解决了宽度的问题,却又让网页产生了很大其它破坏视觉的问题。
还是让我们看一些关于CSS布局的技巧吧。
15款网格布局生成器网格布局的页面能给人简洁明快、层次分明的感觉。
之前帕兰映像里面也介绍过一些网格布局相关的文章: 探索极简派设计/Minimalist Design,32个网格布局的网页设计欣赏和960网格系统等。
如果你也想制作一个网格布局,可以看看这些在线生成器。
9个永不过时的CSS 3栏布局技巧我喜欢3栏布局的网页设计,尽管时下正火的似乎很少采用3栏布局。
但没关系,我们是非非非主流。
但是3栏布局相对来说就比较复杂,有些难以控制,Noupe发表一篇文章,收集了9个号称永不过时的三栏布局设计技巧。
五种方法让CSS实现垂直居中使用 CSS 实现垂直居中并不容易。
有些方法在一些浏览器中无效。
本文里介绍了使对象垂直集中的5种不同方法,以及它们各自的优缺点。
CSS布局口诀网络上有朋友把CSS BUG编成了顺口溜了!是否有效不好说,但至少是蛮有趣的。
使用CSS创建三列固定布局结构讲解如何通过设计一个HTML/CSS的基本结构,来创造一个简单且常用的三列式固定页面布局。
使用CSS完美实现垂直居中的方法使用XHTML+CSS来实现元素的垂直居中一直是前端开发中的一个比较复杂且棘手的问题,作为网页设计师或前端开发工程师,这个垂直居中问题也是必须掌握的技巧之一,一些互联网公司面试题中也会出现这类题目。
本文分享一个由aka Yuh?发明完美通过CSS实现垂直居中的方法。
渐进增强式布局探讨(上)、(下)经典得一塌糊涂的表格布局,在渐进增强面前落花流水——表格布局要求书写HTML代码时,首先考虑布局,而不是内容。
不啰嗦,直接枪毙。
CSS布局大全这份列表收集一些比较优秀的CSS布局,这些布局都免费供个人和商业使用。
当然,你使用之前还是得看版权说明,也许会发生许可协议变更。
Layout Gala- 这个网站收集了40多个专业的CSS布局,每个布局都通过了CSS和HTML验证,且不需要Hack,兼容各大主流浏览器。
43个PSD转xHTML+CSS网页布局及导航教程推荐43个实例xHTML+CSS网页及导航布局教程,在国外也可以叫做PSD2XHTML。
如果你是以为网页设计师,可能会对将自己的效果图实现成语义化的xHTML页面感到头痛,还有一些CSS初学者对于xHTML+CSS处于懵懂状态,希望大家通过这43个”DIV+CSS”实例教程学习到语义化xHTML+CSS布局的精髓,即使你已经成为高手,我也相信其中有你值得学习的地方。
CSS Position这篇文章详细介绍了CSS定位属性Position的各个值的用法,和一些实例说明,以及相关的绝对定位布局和清除浮动列等CSS技巧。
详解css定位与定位应用定位一直是WEB标准应用中的难点,如果理不清楚定位那么可能应实现的效果实现不了,实现了的效果可能会走样。
如果理清了定位的原理,那定位会让网页实现的更加完美。
跨浏览器的CSS固定定位{position:fixed} 使用Position:fixed属性可以实现固定元素于窗口某位置,比如帕兰映像的头部工具栏和底部工具栏就是使用这种效果, 但IE6并不支持这个属性,帕兰映像里使用的方法是利用IE的条件注释让IE6下非固定,显示不同样式。
如果你想实现高度统一,可以看看这篇文章教你如何实现。
32个网格布局的网页设计欣赏篇二:WEB应用扫描平台解决方案WEB应用安全扫描平台解决方案1 安全背景与现状在国内,据国家计算机网络应急技术处理协调中心的统计数据显示,20XX年上半年中国的互联网安全状况仍不容乐观,各种网络安全事件与去年同期相比都有明显增加、被植入木马的主机数量大幅攀升。
攻击者的目标明确、趋利化特点明显,针对不同网站所采用的攻击手段不同,对于政府类或安全管理相关网站,攻击者主要采用篡改网页、放置恶意代码等攻击形式,干扰正常业务的开展(如利用网络钓鱼和网址嫁接等对金融机构、网上交易等站点进行网络仿冒)、蓄意破坏政府或企业形象,严重的导致网站被迫停止服务。
Internet发展到今天,基于WEB和数据库架构的应用系统已经逐渐成为主流,广泛应用于企业内部和外部的业务系统中。
在网络高速公路不断拓展、电子政务、电子商务和各种基于WEB应用的业务模式不断成熟的今天,却有报道称全球电子商务的发展正在下滑。
究其原因,根源在于近两年关于网络钓鱼、SQL注入、木马和跨站脚本等攻击事件带来的严重后果,影响了人们对WEB应用的信心。
根据Gartner的报告,目前网络中常见的攻击已经由传统的系统漏洞攻击逐渐发展演变为对应用自身弱点的攻击,其中最常见的攻击技术就是针对WEB应用的SQL注入和跨站攻击。
中国移动通信集团公司某省公司作为某省最大的综合信息运营商,某省移动不仅为客户提供语音业务、短信业务、手机银行、手机证券、移动传真、虚拟专网、自由呼、秘书服务、手机上网、移动QQ、IP电话等业务,与大众生活息息相关,被各个行业、各类用户所广泛使用,并且随着时间的推移,用户对服务的依赖性越来越强。
而且随着3G的推出,向社会推出更多贴身的服务。
2 安全需求分析移动公司从市场营销、渠道管理、业务受理、业务开通、帐务结算、经营分析、故障申告、综合查询等各个环节均需要相应的业务系统给予支撑,比如:营业系统、CBOSS系统、BBOSS系统、终端管理系统、统一开通系统、结算系统等,而所有这些业务支撑系统均采用B/S架构设计。
B/S架构的应用一方面企业客户带来了便利,另一方面使得企业所面临的风险在不断增加,比如网上营业厅、用户通过互联网就可以查询可在在某省移动内部系统的相关数据、订购某省移动不断推出的新业务。
但是,通过互联网直接访问的运营模式,对某省移动内部系统的安全将是极大的挑战,主要表现为:一是随着WEB应用程序的增多,这些WEB应用程序所带来的安全漏洞越来越多;二是随着互联网技术的发展,被用户进行攻击的黑客工具越来越多,黑客活动越来越猖獗。
3 方案设计依据ISO/IEC 17799BS7799ISO13335ISO27001GB17859—1999计算机信息系统安全保护等级划分准则《信息安全等级保护管理办法》《互联网安全保护技术措施规范》(公安部令第82号)OWASP组织相关建议标准GAO/AIMD-00-33《信息安全风险评估》ISO15408(CC)GB/T178594 解决方案介绍采用明鉴WEB应用弱点扫描器建设某省移动的应用安全扫描平台。