当前位置:文档之家 › 第7章 Web的安全性

第7章 Web的安全性

  • 格式:ppt
  • 大小:606.00 KB
  • 文档页数:15

下载文档原格式

  / 15

合集下载

17计算机网络技术第七章常见网络安全技术第十七周教案

17计算机网络技术第七章常见网络安全技术第十七周教案
(2)客户端无法连接服务器(Ping不通服务器)
(3)在查看“网上邻居”时出现“无法浏览网络。网络不可访问。想得到更多信息请查看‘帮助索引’中的‘网络疑难解答’专题”的错误提示
(4)在“网上邻居”中只能看到本机的计算机名
(5)可以访问服务器,也可以访问Internet,但无法访问其他工作站
(6)可以Ping通IP地址,但Ping不通域名
5.IPSec技术
IPSec(Internet Protocol Security)是一种网络通信的加密算法,采用了网络通信加密技术。IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证,正是这一点才使IPSec可以确保包括远程登录、客户/服务器、电子邮件、文件传输及Web访问在内的多种应用程序的安全。
(2)服务访问策略
典型的服务访问策略是:允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务;允许内部用户访问指定的Internet主机和服务。
(3)防火墙设计策略
通常有两种基本的设计策略:允许任何服务除非被明确禁止;禁止任何服务除非被明确允许。
(4)增强的认证
增强的认证机制包含智能卡,认证令牌,生理特征(指纹)以及基于软件(RSA)等技术,来克服传统口令的弱点。目前许多流行的增强机制使用一次有效的口令和密钥(如SmartCard和认证令牌)。
(7)网络上其他的计算机无法与我的计算机连接
(8)安装网卡后计算机启动的速度慢了很多
(9)在“网上邻居”中看不到任何计算机
(10)别人能看到我的计算机,但不能读取我计算机上的数据
(11)在安装网卡后,通过“控制面板|系统|设备管理器”查看时,报告“可能没有该设备,也可能此设备未正常运行,或没有安装此设备的所有驱动程序”的错误信息

第七章网络安全

第七章网络安全
扫描器应该有3项功能:发现一个主机或网络的能力;一 旦发现一台主机,有发现什么服务正运行在这台主机 上的能力;通过测试这些服务,发现漏洞的能力。
18
5、网络监听 网络监听,在网络安全上一直是一个比较敏感的话题,作为一种 发展比较成熟的技术,监听在协助网络管理员监测网络传输数据、 排除网络故障等方面具有不可替代的作用,因而一直备受网络管 理员的青睐。然而,在另一方面网络监听也给以太网的安全带来 了极大的隐患,许多的网络入侵往往都伴随着以太网内的网络监 听行为,从而造成口令失窃、敏感数据被截获等连锁性安全事件。 网络监听是主机的一种工作模式,在这种模式下,主机可以接收 到本网段在同一条物理通道上传输的所有信息,而不管这些信息 的发送方和接收方是谁。此时若两台主机进行通信的信息没有加 密,只要使用某些网络监听工具就可轻而易举地截取包括口令和 账号在内的信息资料。 Sniffer是一个著名的监听工具,它可以监听到网上传输的所有信 息。还有EtherPeek, WireShark
11
7.1.2黑客的攻击手段 黑客在世界各地四处出击,寻找机会袭击网络,几乎 到了无孔不入的地步.有不少黑客袭击网络时并不是 怀有恶意.他们多数情况下只是为了表现和证实自己 在计算机方面的天分与才华,但也有一些黑客的网络 袭击行为是有意地对网络进行破坏。 黑客(Hacker)指那些利用技术手段进入其权限以外计 算机系统的人。在虚拟的网络世界里,活跃着这批特 殊的人,他们是真正的程序员,有过人的才能和乐此 不疲的创造欲。技术的进步给了他们充分表现自我的 天地,同时也使汁算机网络世界多了一份灾难,一般 人们把他们称之为黑客(Hacker)或骇客(Cracker),前 者更多指的是具有反传统精神的程序员,后者更多指 的是利用工具攻击别人的攻击者,具有明显贬义。但 无论是黑客还是骇客,都是具备高超的计算机知识的 人。

第七章软件安全方案设计

第七章软件安全方案设计

第七章软件安全方案设计结合GB/T22240《信息安全技术网络安全等级保护定级指南》,从信息系统对国家安全、经济建设、公共利益等方面的重要性,以及信息系统被破坏后造成危害的严重性角度对信息系统确定的等级,国家相关部门发布《企业自建和第三方电子服务平台建设标准规范》。

规范中规定了电子服务平台的服务内容和基本建设要求,明确电子服务平台的服务对象、业务要求以及各项基本建设要求,各项基本建设要求包括服务要求、技术要求、安全要求、运维要求和等保测评要求等。

该规范适用于电子服务平台的整体规划、设计、开发、运行。

其中,在规范“10.电子服务平台等保测评要求”章节中要求“为确保电子服务平台在安全方面符合要求,电子服务平台应按信息安全等级保护三级要求建设,每年进行一次等保测评,测评结果及相应证书应及时提交到税务机关备案。

电子服务平台应接受税务机关统一监管。

”在GB/T22239—2018«信息安全技术网络安全等级保护基本要求》中描述“第三级安全保护能力:应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。

”根据确定的等级及国家《信息安全技术网络安全等级保护基本要求》,从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理及安全运维等方而提出具体要求,结合部门规范中电子服务平台安全要求,从电子生成安全、数据存储安全、数据传输安全、数据管理安全、应用安全等具体分以下五部分内容进行阐述。

7.1.电子数据生成安全电子数据生成是指将全部电子数据生成电子版式文件的过程。

电子数据服务平台通过数据接口服务对数据进行数字签名,确保数据的安全、防篡改和防抵赖。

用户在数据服务平台上传输数据会通过私钥对数据进行数字签名,并通过SSL协议一同上传至相关部门,可防止在传输中被篡改。

网络安全Web的安全概述

网络安全Web的安全概述

8.CGI漏洞
通过CGI脚本存在的安全漏洞,比如暴露敏感 信息、缺省提供的某些正常服务未关闭、利 用某些服务漏洞执行命令、应用程序存在远 程溢出、非通用CGI程序的编程漏洞等。
7.2.2 Server下Web服务器的安全配置 (1)目录规划与安装
无论是什么漏洞,都体现着安全是一个整体, 考虑Web服务器的安全性,必须要考虑到与之相配 合的操作系统。
1.物理路径泄露
物理路径泄露一般是由于Web服务器处理用户请求出 错导致的,如通过提交一个超长的请求,或者是某 个精心构造的特殊请求,或是请求一个Web服务器上 不存在的文件。这些请求都有一个共同特点,那就 是被请求的文件肯定属于CGI脚本,而不是静态HTML 页面。
(5)Internet本身没有审计和记录功能,对发生的事情 没有记录,这本身也是一个安全隐患。
(6)Internet从技术上来讲是开放的,是基于可信、友 好的前提设计的,是为君子设计而不防小人的。
7.1.2 Web的安全问题
1.影响Web安全的因素 (1)由于Web服务器存在的安全漏洞和复杂性,
使得依赖这些服务器的系统经常面临一些无法预测的 风险。Web站点的安全问题可能涉及与它相连的内部 局域网,如果局域网和广域网相连,还可能影响到广 域网上其他的组织。另外,Web站点还经常成为黑客 攻击其他站点的跳板。随着Internet的发展,缺乏有 效安全机制的Web服务器正面临着成千上万种计算机 病毒的威胁。Web使得服务器的安全问题显得更加重 要。
正因为这些强大的优势,使Apache Server与其他的Web服 务器相比,充分展示了高效、稳定及功能丰富的特点。 Apache Server 已用于超过600万个Internet站点。
1.Windows2000 Server下Web服务器的安全配置

第七章+WWW与We服务安全

第七章+WWW与We服务安全


Apache Web保护的安全措施
1. 2. 3. 4.
HTTP拒绝服务 缓冲区溢出 通过Apache Web获得root权限 非授权浏览网页
WWW服务器的安全
Apache配置文件的保护 bin, cgi-bin, conf, htdocs, icons, include, logs 使用配置文件httpd.conf的相关安全设定 减少CGI的安全威胁 控制页面的存取 使用用户验证技术


万维网服务 HTTP 电子邮件 SMTP 文件传输 FTP 远程终端访问 Telnet 域名查询 DNS 网络文件系统NFS和网络信息服务NIS
7.1.1 WWW服务器的安全

什么是WWW服务?
world wide web通常简称为the web, 是一个用浏览器 通过因特网可以访问的互相连接的超文本系统
Web编程的安全性

应用程序安全模型
Web编程的安全性

7.3.3 web 服务安全编程工具
7.3.4 输入检查和输出过滤

Mod-Security
是一个开放源代码的入侵检测和防护引擎
Apache Web Server Web Service Client SOAP Envelope reject Mod-security Tomcat Web Application Server Roles for SOAP Axis
7.1.2 Web 客户端安全
1. 2.
3.
Java Applet的安全性 ActiveX的安全性 Cookie的安全性
7.1.3 FTP协议
什么是FTP协议? FTP是文件传输协议,它是为进行文件共享而设 计的因特网标准协议 FTP服务器可分为匿名服务器和非匿名服务器 使用匿名服务器时, 可以通过修改inetd的配置来 直接启动FTP服务器,它执行chroot,然后再启动 FTP服务器

SSL安全协议简介

SSL安全协议简介

为双方传递SSL通信过程 中的相关告警信息。
SSL报警 协议
SSL
SSL握手 协议
在实际传输数据前提供双 方身份认证、协商加密算 法、交换密钥等功能。
SSL修改 密文协议
保障SSL传输过程的安全 性,客户端和服务器双方 应该每隔一段时间改变加 密规范。
SSL安全协议简介
第7章 Web应用安全
5
三、SSL协议的功能 SSL以对称密码技术和公开密码技术相结合,提供以下三方面的安全服务:
SSL安全协议简介
第7章 Web应用安全

6
四、SSL协议的应用
安全超文本传输协议(HTTPS),是以安全为目标的 HTTP 通道,在HTTP的基础上通过
传输加密和身份认证保证了传输过程的安全性。HTTPS 在HTTP 的基础下加入SSL 层,HTTPS 的安全基础是 SSL协议。
HTTPS使用端口443,而不是像HTTP那样使用端口80来和TCP/IP进行通信。HTTPS协议广泛
机密性 • SSL客户机和服务器之间传送的数据都经过了加密处理,网络中的非法窃听者所获取的信息都是密文信息。 • 加密正文(对称加密算法)、加密密钥(非对称加密算法)
完整性 • SSL利用密码算法和哈希函数,通过对传输信息特征值的提取来保护信息的完整性。 • 数字摘要(哈希函数MD5)
认证性 • 利用数字证书技术和可信的第三方认证,可以让客户机和服务器互相识别对方的身份,防止身份的冒充。 • 数字证书(非对称加密算法,数字签名)
第7章 Web应用安全
1
第7章 Web应用安全
SSL安全协议简介
第7章 Web应用安全
2
目标 要求
Objectives
了解SSL安全协议的基本概念;

第七章 Internet安全


• 记录协议报文格式如图所示
报文首部
加密部分
内容类型 主要版本 次要版本 压缩长度
数据(可选压缩)
MAC(0, 16, 20字节)
内容类型(8比特),高层协议:修改密码 规范、告警、握手和应用数据。 主要版本(8比特) 次要版本(8比特) 压缩长度(16比特) 数据 MAC字段
2、记录层报文的产生过程
4. Web服务器有可能成为进攻内部网的跳板。
5. 没有经过训练的用户不了解存在的安全风险。
6. 电子邮件的问题主要是防止欺骗和保证内容的 隐私性。
7. 电子邮件是传播病毒最快捷的途径。
Return
7.2 SSL/TLS
• SSL(Secure Socket Layer)是一个用来保证安 全传输的Internet协议。该协议通过在两个实 体(客户和服务器)之间提供一个安全通道, 来实现数据在Internet中传输的保密性。
• S-HTTP消息的恢复过程需要以下信息:
– S-HTTP消息 – 接收者先前声明所支持的加密方法和密钥素
材。 – 接收者目前支持的加密方法和密钥素材 – 发送者先前声明所支持的加密方法和密钥素

• 为了恢复一个S-HTTP消息,接收者需要 阅读该消息的首部,以确定发送者对消息 主体进行的密码操作,然后对消息进行解 密恢复出明文。
应用数据 分段 压缩
计算MAC
加密 添加首部
允许使用的加密算法:
分组密文
算法
密钥长度
IDEA
128
RC2-40
40
DES-40
40
DES
56
3DES
168
Fortezza
80
流密文

中职《信息技术》教学课件 第7章 任务2 防范信息系统恶意攻击

(2)验证IP地址的真实性。
使用各种方法获取的IP地址的真实性必须经过认真验证,真实的IP地址才具有追查价值。造成IP地址不准确的原因有很多, 如从安全角度考虑隐藏IP地址造成的虚假、网络应用环境造成的IP虚假、人为伪造造成的IP虚假,不同情况应区别对待。
第7章 信息安全基础
说一说 制定防范攻击应急预案的重 要性。
1.发现入侵事件
发现入侵是响应入侵的前提,发现得越早,响应得越及时,损失就越小。非法入侵的特性决定了入侵的隐秘性,所以发 现入侵较为困难。一般情况下,可以考虑从以下几个方面入手,争取尽早发现入侵的迹象。
(1)安装入侵检测设备。 (2)对Web站点的出入情况进行监视控制。 (3)经常查看系统进程和日志。 (4)使用专用工具检查文件修改情况。
第7章 信息安全基础
360安全卫士提供4种木马查杀方式。 快速查杀:此方式仅扫描系统内存、启动对象等关键位置,由于扫描范围小,所以速度较快。 按位置查杀:由用户自己指定需要扫描的范围,此方式特别适用于扫描U盘等移动存储设备。 全盘查杀:此方式扫描系统内存、启动对象及全部磁盘,由于扫描范围广,速度较慢。由于木马可能会存在于系统的任 何位置,用户在第一次使用360安全卫士或者已经确定系统中了木马的情况下,需要采取此种方式。 强力查杀:正常模式下难以查杀的顽固病毒及木马,可使用强力查杀模式。 (4)扫描完成,显示使用360查杀木马的结果,如图所示。如发现在计算机中存在木马,单击“一键处理”按钮,删除 硬盘中的木马。
(2)根据《中华人民共和国刑法》第二百八十五、第二百八十六条的规定,对违反国家规定,侵入国家事务、国防 建设、尖端科学技术领域计算机信息系统的,要受到刑罚;即使侵入的是一般信息系统,如果造成严重后果,同样也要 受到刑罚,显然,黑客行为达到一定程度就是犯罪。

第7章 操作系统和站点安全

1)标识和口令 2)文件权限 3)文件加密
7.2 UNIX操作系统的安全
(1)标识和口令
UNIX系统通过注册用户和口令对用户身份进行认证。因此 ,设置安全的账户并确定其安全性是系统管理的一项重要工作 。在UNIX操作系统中,与标识和口令有关的信息存储在 /etc/passwd文件中。每个用户的信息占一行,并且系统正常 工作必需的标准系统标识等同于用户。文件中每行的一般格式 为:LOGNAME:PASSWORD:UID:GID:USERINFO:HOME:SHELL 每行包含若干项,各项之间用冒号(:)分割。第1项是 用户名,第2项加密后的口令,第3项是用户标识,第4项是用 户组标识,第5项是系统管理员设置的用户扩展信息,第6项是 用户工作主目录,最后一项是用户登录后将执行的shell全路 径(若为空格则缺省为/bin/sh)。
7.1 Windows操作系统的安全
2. Windows 系统安全
(1)Windows Server 2012的ReFS文件系统
微软由底层向上设计的ReFS文件系统 . (2)工作组(Workgroup)连接的计算机组群,Win安全-集中管理基本单位
7.1.1 Windows系统的安全性 1. Windows系统简介
微软1993年推出Windows NT3.1后, 相继又推出了Windows NT3.5和4.0, Windows 7/8以性能强,方便管理的突出优势很快被很多用户所接受. Windows 2000是微软公司在Windows NT之后推出的网络操作系统, 其应用、界面和安全性都做了很大的改动,是Windows操作系统发展 过程中巨大的革新和飞跃。 Windows server 2003是一款应用于网络和服务器的操作系统。该操 作系统延续微软的经典视窗界面,同时作为网络操作系统或服务器操 作系统,力求高性能、高可靠性和高安全性是其必备要素,尤其是日 趋复杂的企业应用和Internet应用,对其提出了更高的要求。 Windows Server2012 是建立在 Windows Server 2003版本之上,具 有先进的网络、应用程序和 Web 服务功能的服务器操作系统,为用户 提供高度安全的网络基础架构,超高的技术效率与应用价值。

Spring Boot企业级开发教程 第7章 SpringBoot安全管理

2. 另外,可以通过自定义WebSecurityConfigurerAdapter类型的Bean组件来覆盖默认访问规则。
✎ 7.3 MVC Security安全配置
MVC Security安全配置介绍
如何关闭Sercurity提供的Web应用默认安全配置
WebSecurityConfigurerAdapter类的主要方法及说明
实际开发中,一些应用通常要考虑到安全性问题。例如,对于一些重要的操作,有些请求需要用户 验明身份后才可以执行,还有一些请求需要用户具有特定权限才可以执行。这样做的意义,不仅可以用 来保护项目安全,还可以控制项目访问效果。
本章将针对Spring Boot的安全管理进行详细地讲解。
✎ 7.1 Spring Security介绍
1. 要完全关闭Security提供的Web应用默认安全配置,可以自定义 WebSecurityConfigurerAdapter类型的Bean组件以及自定义UserDetailsService、 AuthenticationProvider或AuthenticationManager类型的Bean组件。
至此,使用Spring Boot整合Spring MVC框架实现了一个传统且简单的Web项目,目前项目没有引入任何的安全 管理依赖,也没有进行任何安全配置,项目启动成功后,可以访问首页,单击影片进入详情详情页。
✎ 7.2 Spring Security入门
开启安全管理效果测试
搭建步骤:
1. 添加spring-boot-starter-security启动器 2. 项目启动测试
✎ 7.4 自定义用户认证
JDBC身份认证
① 数据准备
数据库 springbootdata
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

14
Cookie的安全性
• Cookie的设置 • 课堂演练:Cookie欺骗演示实验
深圳职业技术学院 石淑华 池瑞楠
15
深圳职业技术学院 石淑华 池瑞楠
8
什么CGI --Common Gateway Interface
• 一种基于浏览器的输入、在Web服务器 上运行的程序方法。CGI脚本使你的浏览 器与用户能交互,为了在数据库中寻找 一个名词,提供你写入的评论,或者从 一个表单中选择几个条目并且能得到一 个明确的回答。如果你曾经遇到过在web 上填表或进行搜索, 你就是用的CGI脚本。
深圳职业技术学院 石淑华 池瑞楠
ቤተ መጻሕፍቲ ባይዱ
4
操作系统的选择
• 什么样的平台对Web服务器来说更安全?
– – – – Windows +IIS Unix+Apache solaris Linux +Apache(Tomcat)
• 每一个不同的平台都有其不同的安全含意,但 是不能彼此比较安全性。尽管你应该注意每个 操作系统的安全性,但是这不应该成为你选择 平台的主要标准。
• Web站点的五种主要安全问题
1)未经授权的存取动作。 2)窃取系统的信息。 3)破坏系统。 4)非法使用。 5)病毒破坏。
深圳职业技术学院 石淑华 池瑞楠
3
影响Web站点安全的因素
(1)网络系统的安全漏洞 (2)操作系统类安全漏洞 (3)应用系统的安全漏洞 (4)脚本的安全漏洞 (5)其他安全漏洞
深圳职业技术学院 石淑华 池瑞楠
7
课堂演练:使用SSL实现安全通信
• 任务一:在CA上安装 “证书服务”Windows 组件 • 任务二:在Web服务器创建服务器证书请求 • 任务三:申请并安装Web服务器证书请求 • 任务四:Web客户端通过SSL安全通道建立和 Web服务器的连接 • 任务五:申请并安装Web客户端证书
深圳职业技术学院 石淑华 池瑞楠
12
Web浏览器的安全---浏览器本身的漏洞
• • • •
缓冲区溢出漏洞 递归Frames漏洞 快捷方式漏洞 重定向漏洞
深圳职业技术学院 石淑华 池瑞楠
13
ActiveX的安全性
• ActiveX的安全漏洞
• IE浏览器中ActiveX设置
深圳职业技术学院 石淑华 池瑞楠
深圳职业技术学院 石淑华 池瑞楠
9
• 网络服务器开放的构造允许任意的CGI脚 本可在对远程服务请求有应答服务器上 执行。安装在你的网站上任何CGI脚本都 含有漏洞,每一个这样的漏洞都是一个 潜在的安全漏洞。 • CGI语言,如Perl,Php,C,VC++等都可 以称为CGI语言
深圳职业技术学院 石淑华 池瑞楠
深圳职业技术学院 石淑华 池瑞楠
5
• 选择一个安全的Web服务器
– 在增强服务器的安全性时,应该有三个目的:
• 配置你的程序使它只能提供你指定的服务。 • 不到必要的时候不暴露任何信息 • 如果系统遭到入侵,最大限度地减少损坏
深圳职业技术学院 石淑华 池瑞楠
6
IIS 的安全
1.IIS安装安全 2.用户控制安全 3.访问控制安全 4.IP地址控制 5.端口安全 6.IP转发安全 7.SSL安全
第七章 Web的安全性
深圳职业技术学院 石淑华 池瑞楠
1
主要内容
• Web的安全性的概述 • Web服务器的安全 • 脚本语言的安全性
– CGI 程序的安全性 – VBScript 语言的安全性 – JavaScript语言的安全性
• Web浏览器的安全
深圳职业技术学院 石淑华 池瑞楠
2
Web站点安全概述
10
CGI安全
• 一是Web服务器的安全。
1.Web服务器软件编制中的BUG。 2.服务器配置错误。 这可能导致CGI源代码泄露。
• 一是CGI语言的安全。
深圳职业技术学院 石淑华 池瑞楠
11
ASP安全
1、ASP源代码的泄漏
2、密码验证时的漏洞 3、数据类型判断上的漏洞 4、来自filesystemobject的威胁 5、编程时的漏洞 【课堂演练】ASP/SQL安全注入实验