第九章Web应用安全.pptVIP

前言 Web安全的在信息安全原理与技术体系的位置？ WEB的安全性问题 由于WEB浏览器通常都具有良好的图形用户界面，并且集成了对多种应用的支持；java等技术的引入使得WEB具有了更强的交互性来支持各种网络应用，基于HTTP协议的WEB技术来实现已成为一种普遍的趋势，因此目前绝大多数网络服务都倾向于采用WEB的方式来向用户提供服务。 WEB的安全性问题的原因。 HTTP协议的安全性是非常脆弱的； 服务实现上的复杂性系统的配置和管理趋于复杂化 ，导致许多的安全隐患 WEB最终用户常常是未经训练或不了解系统安全细节的用户。 对应的： 增强的安全协议 工具的升级、配置与编码的规范 基本的安全培训，严格的编码控制 WEB安全威胁 ——威胁的位置 (1)对WEB服务器的攻击； (2)对WEB浏览器的攻击； (3)对浏览器与服务器间通信流量的攻击。 WEB技术所面临的安全威胁 ——威胁的后果 (1)对信息完整性的攻击:试图修改用户数据;利用特洛伊木马攻击客户浏览器;修改传输中的报文通信量 (2)对信息必威体育官网网址性的攻击:网络窃听数据信息；网络窃取网络配置信息 (3)拒绝服务攻击:目标阻止受攻击者访问特定资源；目的是合法用户使用网络资源 (4)对身份认证攻击:假冒合法用户获取服务权限；假冒服务器欺骗用户 Web安全性威胁与对策 保证Web应用安全 首先需要保证服务器系统和客户工作站系统安全，因为系统安全是整个应用安全保障的基础。 在此基础上，Web应用的安全性实现主要依赖于应用协议的安全性和网络通信的安全性，安全通信协议是附加在TCP/IP协议栈中的一系列安全机制。一般来说已经包含在系统或编码框架里面。 保证服务器配置方案安全 保证编码安全 使用检测工具保证基本的安全检测，使用专业检测维护网站安全。 Web安全协议 网络层：IPSec 传输层：SSL/TLS 应用层：SET/SHTTP (1) 安全超文本转换协议（S-HTTP） (2) 安全套接层协议（SSL协议：Secure Socket Layer) (3) 安全交易技术协议(STT：Secure Transaction Technology) (4) 安全电子交易协议（SET：Secure Electronic Transaction） https(shttp)-ssl-tls-wtls 因为ssl有不足，所以出现了set.ssl与set是应用主流，前者当前后者未来。 TCP/IP协议栈中的安全机制 网络层——IP 安全性(IPSec) 提供了一种网络层的安全性。使用IPSec的优点在于对于最终用户和应用程序来说，这层安全机制是透明的，而且能够提供一种通用的解决方法，它不影响应用的具体实现和修改。IPSec可以保证通过IP层的数据的安全性，同时它还具有过滤功能，只有符合条件信息流才能通过。 传输层—— SSL / TLS SSL:安全套接字层;TLS:Internet传输层安全 在该层上安全性的实现可以有两种方法(1)将SSL/TLS看作基本协议栈中的组成部分，向应用提供透明的安全传输服务;(2)直接将SSL嵌入到应用软件中，如Netscape和IE 应用层——S/MIME,PGP,SET,Kerberos 将与应用有关的安全服务直接嵌入到特定的应用程序中。这种方式支持特定的应用程序专门定制特定的安全服务。如电子安全交易(SET) 安全套接字层（SSL） Secure socket layer,是Netscape提出的。 TLS（Transport Layer Security） 1.0 （RFC 2246）可看成是SSLv3.l，它们非常接近，并且与SSLv3兼容。 设计目标是在TCP基础上提供一种可靠的端到端的安全服务，其服务对象一般是WEB应用。 传输层的安全协议。 SSL的体系结构 SSL记录协议层 (1)SSL Record Protocol layer。 (2)为高层协议提供基本的安全服务。SSL记录协议针对HTTP协议进行了特别的设计，使得超文本的传输能够在SSL上运行。 (3)记录层协议封装各种高层协议。 (4)具体实施压缩解压缩、加密解密、计算和校验MAC等与安全有关的操作。 SSL握手协议层 SSL HandShake Protocol layer。 包括： SSL握手协议（SSL HandShake Protocol）； SSL密码参数修改协议（SSL Change Cipher Spec Protocol）； 应用数据协议（Application Data Protocol）； SSL告警协议（SSL Alert Prot