web現在不僅是IT人事的生活所需,而且是我們瞭解和諧社會、縱覽世界文化的直接途徑。web所講的故事像又寬又深的海,我們操作它的同時也許永遠觸摸不到它的底線。
然而在web的大家庭中有一支青年近衛軍,它們的地位和作用與日俱增,開發者不斷使它年輕化、壯大化,它的槍膛上滿了×××,眼神裏不會流露出膽怯。WEB安全的理念伴隨着我們每天的成長,人們對它的要求更多、依賴更多了。WTP (Web Threat Protection)——“上網無憂電子眼”,我試用期間感覺很符合我們大衆,而且各項性能,速度、可操作性、引擎等都非常出色,感覺離我們真的很近,很親切。
web的結構是經典的不能在經典的b/s模式了。瀏覽器相當於browser;而數據庫、中間動態生成器、應用則三點一線構成了server。
WEB的開發環境簡單的分爲:CGI,ASP,JAVA。三種各有千秋,又各有弊病,競爭促使開發者不斷追求理論上的“無懈可擊”。只要是人設計出來都會有問題,理論在於我們的速度能把我們的東西帶到什麼高度,那樣可能我們的東西就更接近“完美”一些。
前人總結的都很好了,經典的東西是永遠不會退色的。
一、CGI的安全威脅大概分爲:
1.字節問題
Parse $user_input
$database=“user_input.db”;
Open(FILE”<$database”>);
提交/etc /passwd\0 時就可能打開passwd
2.處理文件名
分號命令分隔
/ 目錄分割
./ 當前目錄
../ 上級目錄
3.處理HTML
允許輸入HTML,就如同給外界開了一個VIP通道,惡意破壞者可能會通過輸入腳本語言獲取口令,來***我們的機器。
4.處理外部進程
外部檢測是我們必須做好的,SHELL腳本會和合法數據一起執行。可能會導致意外的行爲,給服務器造成麻煩。
6.處理內部函數
這個可能是用戶輸入的數據不正確導致系統出錯。
二、ASP的安全威脅
1.泄露源代碼
[url]http://www.somehost.com/some.asp::$DATA[/url]
[url]http://www.somehost.com/some.asp&2e[/url]
[url]http://www.somehost.com/some.asp[/url]
[url]http://www.somehost.com/some%2e@41sp[/url]
[url]http://www.somehost.com/some%2e%asp[/url]
2.FileSystemObiect
文件操作可通過VB的FileSystemObiect來執行
例:查看文件的ASP源碼(調用格式[url]http://xxxx/cat.asp?file=[/url]文件名
<%
Response.ContextType=“text/plain”
file=Request.QueryString(“file”)
set fsFilesys=CreateeObiect(“Scripting.FileSystemObject”)
set tsCoffee=fsFilesys.OpenTextFile(file)
Response.Write tsCoffee.Readall
tsCoffee.Close
set fsFilesys=Nothing
set fsFilesys=Nothing
%>
3.數據庫密碼驗證
sql=“select * from user where username=“”&username&””and pass=“”& pass&””
sql=“select * from user where username=“”hacker” or ‘1’ =1 & ”and pass=“”& pass&””
4.包含文件.inc
很多代碼或者配置信息會寫到.inc文件中,這樣如果有錯誤的話會暴露路徑和代碼。
三、
在給人們造就便利的同時,就意味着計算機要做的更多,程序要做的更多,×××也更多。1..Cookies的安全性問題,Cookies的作用是瀏覽狀態記憶;危害就是會留下痕跡
2..ActiveX的安全性問題,ActiveX的作用是本地編譯可執行2進制代碼用於分發軟件;危害即使經過簽名仍然有可能破壞,隱患太大。
四、web威脅與對策
1.威脅:
修改用戶的數據、特洛伊***瀏覽器、修改內存、修改傳輸的數據流、網上偷聽、從服務器處偷信息、從客戶端處偷信息、關於網絡配置的信息、關於客戶連接的信息、中斷用戶連接、用僞造的威脅淹沒服務器、塞滿硬盤或內存、***DNS隔離服務器、冒充合法用戶、數據僞造
2.後果:
信息丟失、機器暴露、其它所有威脅的弱點、丟失信息、丟失隱私、中斷、騷擾、阻止用戶完成正常工作、以假亂真、誤信錯誤信息
3.對策:
加密校驗、加密Web代理、加密技術
五、基於Web信息流的安全方法
網絡層——IP 安全性(IPSec)
傳輸層—— SSL / TLS
應用層——S/MIME,PGP,SET,Kerberos
六、基於Web信息流的安全方法:SSL -Secure Socket Layer
以下是簡單的介紹:
1.在互聯網上訪問某些網站時也許你會注意到在瀏覽器窗口的下方會顯示一個鎖的小圖標。這個小鎖表示什麼意思呢?它表示該網頁被SSL保護着SSL全稱爲“Secure Sockets Layer”;安全套接層是一種用於網站安全連接的協議或技術。
2.所謂的安全連接有兩個作用
首先是SSL可以提供信息交互雙方認證對方的身份標識,顯而易見地這對當你開始與對方交換機密信息前確切瞭解對方身份是非常重要的SSL通過數字證書的技術實現使得這一,需求得以滿足;
另一個是它能夠使數據以不可讀的格式傳輸以利於在不可信網絡例如互聯網上的安全傳輸需要這種不可讀格式,通常由加密技術實現。
3.源於Netscape開發V3首先作爲RFC發佈後IETF建立一個TLS工作小組作爲Internet Standard TLS的第一個版本可以看作是SSLv3.1。
4.
SSL體系結構 SSL被設計用來使用TCP提供一個可靠的端到端安全服務。
SSL Record Protocol爲更高層提供基本安全服務。特別是HTTP,它提供了Web的client/server交互的傳輸服務,可以構造在SSL之上。
SSL Handshake Protocol, SSLChange Cipher Spec Protocol, SSL Alert Protocol是SSL的高層協議,用於管理SSL交換。
5.SSL的兩個重要概念
SSL連接(connection)
一個連接是一個提供一種合適類型服務的傳輸(OSI分
層的定義)。
SSL的連接是點對點的關係。
連接是暫時的,每一個連接和一個會話關聯。
SSL會話session
一個SSL會話是在客戶與服務器之間的一個關聯,會話由Handshake Protocol創建,會話定義了一組可供多個連接共享的加密安全參數。
會話用以避免爲每一個連接提供新的安全參數所需昂貴
的談判代價。
6.數字證書
一種能在完全開放系統,用來標識某些主體如一個人或一個網站的機制。一個數字證書包含的信息必須能鑑定用戶身份,確保用戶就是其所持有證書中聲明的用戶。數字證書由CA Certificate Authorities 機構承認。CA是被銀行、政府和其它公共機構認可用於標識證書所有者的第三方機構除了唯一的標識信息外數字證書還包含了證書所有者的公共密鑰。想到這裏我不得不懷疑農行新上的證書系統。。。要麼揚名華夏成爲一時之“傑”,要麼功敗垂成。
7.SSL應用中的安全問題
Client系統Server系統Keys和Applications都要安全
短的公開密鑰加密密鑰以及匿名服務器需謹慎使用
對證書CA要謹慎選擇
密鑰管理
8.證書的弱點
CA機構並不總是可靠的,而且缺乏準確性和靈活性。
9.暴力***證書
即使很困難,在理論上也會成立的,如果有一個特定的環境和條件,攻破服務器還是有可能的。暴力***證書的方便之處在於它僅需要猜測一個有效的用戶名,而不是猜測用戶名和口令。
10.***竊取證書
***者可能試圖竊取有效的證書及相應的私有密鑰,最簡單的方法是利用***。這種***一旦成功,幾乎客戶端證書就是浮雲。
雖然有很多漏洞,但是SSL仍然是一個幾近完美的安全措施,或者一種安全工具,它還需要其他的網絡工具來輔助,一起搭建一個真正的“網”絡。
SSL的實現
商業產品
– Windows 2k+ IE IIS etc
自由軟件
– openssl
– mod_ssl
– apache_ssl
– stunel
網絡是我們熟悉的,同時也是讓我們感到“陌生”的,如果您不是一位專業從事安全技術的工作者,那麼您可能很難瞭解到網絡中千瘡百孔的漏洞。如何有效的抵禦Web安全威脅是我們每一個用戶關心的問題,在這裏向大家推薦一款Web威脅防禦工具,趨勢科技上網無憂電子眼。這款工具集成了趨勢科技最新推出的Web信譽服務,通過對網絡中的Web站點進行可靠的安全等級評估,從而採取主動的防護措施,真正的實現了在危險到達前予以阻止的目的。上網無憂電子眼的體積很小,系統資源的佔用相對也很少,工具運行時會顯示在系統桌面的右下角,當我們訪問具有安全隱患的網站時,工具會第一時間阻止威脅的侵襲,並提示用戶Web頁中可能存在的安全威脅。人性化的設計與實用的功能是我向大家推薦這款工具的原因,大家不妨試試看。
下載地址:<[url]http://cn.trendmicro.com/cn/sp/smb/wpao/[/url]>”