《网络与信息安全PPT课件》由会员分享,可在线阅读,更多相关《网络与信息安全PPT课件(72页珍藏版)》请在金锄头文库上搜索。
1、网络与信息安全应用安全:Web安全、Mail安全、病毒潘爱民,北京大学计算机研究所http:/ .q例如:Cookie:CUSTOMER=WILE_E_COYOTE利用cookie完成一个transaction顾客名字购物篮购物方法Cookie被滥用nCookies中往往会记录一些涉及用户隐私的信息,比如用户的名字,email地址等n如果客户关闭了cookie的功能,则许多网站的功能不能正常工作nCookie被滥用的一个例子qDoubleClick公司案例n利用cookie来收集个人的喜好n为广告客户提供广告发布服务q个人喜好信息不能被滥用n有些国家规定这些信息不能被公开,或者被销售等Web服
2、务器端安全性n服务器发布信息,提供服务q静态信息,各种HTML页面q动态信息,利用脚本或者各种扩展引擎响应客户的请求n安全性q目录安全性n只有指定范围的文件才可以被访问q例如,禁止URL中出现“.”nCgi文件的安全性,此目录禁止通过Web读写q检查每一个cgi文件,不要保留有漏洞的cgi文件,特别是系统预装的一些cgi示例文件,这些文件往往为了说明功能,而忽略了安全性的考虑q要求认证:由于协商的原因,要注意安全性最低的认证协议q授权机制:保护好口令的安全存储,以及客户信息的保存q日志:打开系统中对于Web服务的日志功能,以及Web服务的日志记录针对WebServer的常见攻击n从Web服务中
3、获取信息qWeb页面中的注解信息,或者一些扩展特性q返回的应答头有时也会暴露信息n针对WebServer的各种攻击手法q比如说IIS的UNICODE漏洞q有些脚本代码或者cgi程序的漏洞q缓冲区溢出q输入验证攻击q拒绝服务攻击服务器端的安全防护n有些应用使用SSL/TLS,为WebService申请一个证书nWebServer往往是网络攻击的入口点q为了提供WebService,必须要开放端口和一些目录,还要接受各种正常的连接请求q防火墙对WebServer的保护是有限的n为了安全,请q及时打上WebServer软件厂商提供的补丁程序n特别是一些主流的服务软件,比如MS的IISq控制目录和文件
4、的权限qWeb应用开发人员注意n在服务端的运行代码中,对于来自客户端的输入一定要进行验证n防止缓冲区溢出WebServerLogFileFormatnCommon Log Format nExtended Common Log Format remotehostrfc931authuserdaterequeststatusbytes151.99.190.27-01/Jan/1997:13:07:21-0600GET/bacuslab/celsheet.htmlHTTP/1.020013276remotehostrfc931authuserdaterequeststatusbytesrefereruser_ -jvb01/Jan/1997:12:57:45 -0600GET /bacuslab/ HTTP/1.03040http:/ Stallings, Cryptography and network security: principles and practice, Second Edition.q“黑客大曝光”(第二版),清华出版社nWebsitesqhttp:/www.w3.org/Security/Faq/qhttp:/