第8章WEB安全性.ppt.ppt

Web的安全性;主要内容;　Web站点安全概述 ;（1）网络系统的安全漏洞 （2）操作系统类安全漏洞 （3）应用系统的安全漏洞（IIS） （4）脚本的安全漏洞 （5）其他安全漏洞;什么样的平台对Web服务器来说更安全？ 1 Windows +IIS 2 Unix+Apache 3 solaris 4 Linux +Apache（Tomcat） 每一个不同的平台都有其不同的安全含意，但是不能彼此比较安全性。尽管你应该注意每个操作系统的安全性，但是这不应该成为你选择平台的主要标准。 ;选择一个安全的Web服务器 在增强服务器的安全性时，应该有三个目的：????A.配置你的程序使它只能提供你指定的服务。????B.不到必要的时候不暴露任何信息。????C.如果系统遭到入侵，最大限度地减少损坏 ;IIS 的安全;Microsoft IIS 5.0在处理以.ida为扩展名的URL请求时，它会有两种??果。一个可能的结果是服务器回复URL String too long的信息；或类似Cannot find the specified path 的信息。另一种可能就是服务器端服务停止，并返回Access Violation信息(即成功的实现了对服务器端的拒绝服务攻击)当远端攻击者发出类似如下的请求时：http://someurl/...[25kb of .]...ida服务器端会崩溃(导致拒绝服务攻击)或返回该文件不在当前路径的信息问题解决或者建议：大多数情况下，站点很少使用扩展名为.ida和.idq的文件，可在ISAPI脚本映射中，将扩展名为.ida和.idq的应用程序映射删除。 ;通过请求一个不存在的扩展名为idq或ida得文件，IIS会暴露文件在服务器上得物理地址. 测试程序：  http://someurl/anything.ida http://someurl/lunwen/anything.ida或: http://someurl/anything.idq一个远端用户可以收到类似：The IDQ d:\http\anything.idq could not be found的响应。这样的一个响应就会让攻击者获得了Web站点的物理路径，并且还可以获得更多的有关该站点在服务器上的组织与结构。 ;什么CGI --Common Gateway Interface;;CGI安全;ASP安全;Web浏览器的安全---- 浏览器本身的漏洞 ;ActiveX的安全性 　;Cookie的安全性