第7章 WWW安全性.ppt

第七章 WWW安全性
HTTP协议及 Web欺骗
增强
本章学习目标
本章本章主要介绍了,读者应该掌握以下内容:
Web与HTTP协议,HTTP数据包的过滤特性和代理特性,Web的访问控制,HTTP的安全问题,S-HTTP和SSL的简介,缓存的安全性;
A、scape的安全问题;
CGI程序的安全性问题;
Plug-in的安全性问题;
Java与JavaScript的安全性问题;
Cookies的安全性;
ActiveX的安全性;
Web攻击的行为特点;与Web安全相关的决策;
;
如何增强;
返回本章首页
HTTP协议及WWW服务
HTTP协议及其安全性
Web的访问控制
安全超文本传输协议S-HTTP
安全套接层SSL
缓存的安全性
返回本章首页
HTTP协议及其安全性
HTTP协议(Hypertext Transfer Protocol,超文本传输协议)是分布式的Web应用的核心技术协议,在TCP/IP协议栈中属于应用层。它定义了Web浏览器向Web服务器发送Web页面请求的格式,上的传输方式。
HTTP协议允许远程用户对远程服务器的通信请求,
这会危及Web服务器和客户的安全
HTTP的另一个安全漏洞就是服务器日志。
返回本节
Web的访问控制
IP地址并不能得到解析,因为客户机本地名字服务器配置可能不正确,这个时候HTTP服务器就伪造一个域名继续工作。一旦Web服务器获得IP地址及相应客户的域名,便开始进行验证,来决定客户是否有权访问请求的文档。这其中隐含着安全漏洞。
可用一些方法来增强服务器的安全性
返回本节
安全超文本传输协议S-HTTP
S-HTTP(Secure Hyper Text Transfer Protocol)上所传输的敏感信息的安全协议。和Web对身份验证的需求的日益增长,用户在彼此收发加密文件之前需要身份验证。S-HTTP协议也考虑了这种需要。
S-HTTP的目标是保证蓬勃发展的商业交易的传输安全,因而推动了电子商务的发展。S-HTTP使Web客户和服务器均处于安全保护之下,其信息交换也是安全的。
返回本节
安全套接层SSL
SSL(Secure Sockets Layer)是Netscape公司设计和开发的,其目的在于提高应用层协议(如HTTP,,NNTP,FTP等)的安全性。SSL协议的功能包括:数据加密、服务器验证、信息完整性以及可选的客户TCP/IP连接验证。SSL的主要目的是增强通信应用程序之间的保密性和可靠性。
SSL是两层协议,它依赖了一些可靠的传输协议
SSL不同于S-HTTP之处在于后者是HTTP的超集,只限于Web
SSL 可以使用各种类型的加密算法和密钥验证机制
安全方案不仅仅只有SSL和S-HTIP
返回本节
缓存的安全性
缓存通过在本地磁盘中存储高频请求文件,从而大大提高Web服务的性能。不过,如果远程服务器上的文件更新了,用户从缓存中检索到的文件就有可能过时。而且,由于这些文件可由远程用户取得,因而可能暴露一些公众或外部用户不能读取的信息。
HTTP服务器通过将远程服务器上文件的日期与本地缓存的文件日期进行比较可以解决这个问题。
返回本节


(CGI)的安全性
Plug-in的安全性
Java与JavaScript的安全性
Cookies的安全性
ActiveX的安全性
返回本章首页



scape的
返回本节