第9章Web应用安全9.1WEB应用安全概述9.1.1Web应用的体系架构9.1.2Web应用的安全威胁9.1.3Web应用的安全实现方法9.1.4Web应用的安全防范措施
第9章Web应用安全传统的信息系统应用模式是客户端/服务器(Client/Server,C/S)体系结构。在C/S体系结构中,服务器端完成存储数据、对数据进行统一的管理、统一处理多个客户端的并发请求等功能,客户端作为和用户交互的程序,完成用户界面设计、数据请求和表示等工作。随着浏览器的普遍应用,浏览器和Web应用的结合造就了浏览器/服务器(Browser/Server,BS)体系结构。在B/S体系结构中,浏览器作为“瘦”客户端,只完成数据的显示和展示功能,使得Web应用程序的更新、维护不需要向大量客户端分发、安装、更新任何软件,大大提升了部署和应用的便捷性,有效地促进了Web应用的飞速发展,Web应用的体系结构,如图9.1所示。9.1.1Web应用的体系架构
第9章Web应用安全9.1.2Web应用的安全威胁针对Web应用体系结构的4个组成部分,Web应用的安全威胁主要集中在以下4个方面。(1)针对终端用户的Web浏览器安全威胁。该类威胁主要包括网页挂马、网站钓鱼、浏览器劫持、Cookie欺骗等。(2)针对传输网络的安全威胁。该类威胁具体包括针对超文本传输协议(HyperTextTransferProtocol,HTTP)明文传输协议的网络监听行为,网络层、传输层和应用层都存在的假冒身份攻击,传输层的拒绝服务攻击等。(3)针对Web应用程序的安全威胁。开发人员在使用PHP、ASP等脚本语言实现Web应用程序时,由于缺乏安全意识或者编程习惯不良等原因,导致开发出来的Web应用程序存在安全漏洞,从而容易被攻击者所利用。典型的安全威胁有SQL注入攻击、跨站脚本(CrossSiteScripting,XSS)攻击等。(4)针对Web服务器软件的安全威胁。互联网信息服务(InternetInformationServices,IIS)等流行的Web服务器软件都存在一些安全漏洞,攻击者可以利用这些漏洞对Web服务器进行入侵渗透。
第9章Web应用安全9.1.3Web应用的安全实现方法从TCP/IP协议栈的角度而言,实现Web安全的方法可以划分为以下3类。1.基于应用层实现Web安全2.基于传输层实现Web安全3.基于网络层实现Web安全
第9章Web应用安全9.1.4Web应用的安全防范措施提升Web应用的安全防范措施,可以从以下几个方面入手制定方案。(1)在满足用户需求的情况下,尽量使用静态页面代替动态页面。采用动态内容、支持用户输入的Web应用程序与静态HTML相比具有较高的安全风险,因此,在设计和开发Web应用时,应谨慎考虑是否使用动态页面。通常信息发布类网站无须使用动态页面引入用户交互,目前新浪、网易等门户网站就采用了静态页面代替动态页面的构建方法。(2)对于必须提供用户交互、采用动态页面的Web站点,尽量使用具有良好安全声誉和稳定技术支持力量的Web应用软件包,并定期进行Web应用程序的安全评估和漏洞检测,升级并修复安全漏洞。(3)强化程序开发者在Web应用开发过程中的安全意识和知识,对用户输入的数据进行严格验证,并采用有效的代码安全质量保障技术,对代码进行安全检测。(4)操作后台数据库时,尽量采用视图、存储过程等技术,以提升安全性。(5)使用Web服务器软件提供的日志功能,对Web应用程序的所有访问请求进行日志记录和安全审计。
第9章Web应用安全9.2WEB服务器软件的安全9.2.1Web服务器软件的安全威胁9.2.2Web服务器软件的安全防范措施
第9章Web应用安全9.2.1Web服务器软件的安全威胁Web服务器软件成为攻击者攻击Web应用主要原因有以下几个方面。(1)Web服务器软件存在安全漏洞。(2)Web服务器管理员在配置Web服务器时存在不安全配置。(3)在Web服务器的管理上没有做好安全配置。虽然现在针对Web服务器软件的攻击行为相对减少,但是仍然存在,下面列举几类目前比较常见的Web服务器软件安全漏洞。(1)源代码泄露安全漏洞。(2)服务器功能扩展模块漏洞。(3)资源解析安全漏洞。(4)数据驱动的远程代码执行安全漏洞。
第9章Web应用安全9.2.2Web服务器软件的安全防范措施针对上述各种类型的Web服务器软件安全漏洞,安全管理人员在Web服务器的配置、管理和使用上,应该采取有效的防范措施,以提升Web站点的安全性。(1)及时进行Web服务器软件的补丁更新。(2)对Web服务器进行全面的漏洞扫描,并及时修复这些安全漏洞,以防范攻击者利用这些(3)采用提升服务器安全性的一般性措施。
第9章Web应用安全9.3WEB浏览器的安全9.1.1Web应用的体系架构9.1.2Web应用的安全威胁9.1.3Web应用的安全实现方法9.1.4Web应用的安全防范措施
第9章Web应用安全9.3.1Web浏览器的安全威胁常见的针对Web浏览器的安全威胁主要有以下几个方面。(1)针对Web浏览器软件及其插件程序的安全漏洞实施的渗透攻击威胁。这种安全威胁主要包括以下两个方面。①网页木马。②浏览器劫持。(2)针对Web浏览器所在的系统平台的安全威胁。(3)针对互联网用户的社会工程学攻击威胁。
第9章Web应用安全9.3.2Web浏览器的安全防范措施下面以IE浏览器为例,从设置IE浏览器的安全级别、清除IE缓存、隐私设置、关闭自动完成功能等几个方面简单介绍一些提升IE浏览器安全性的方法。1.清除IE浏览器的缓存2.设置IE浏览器的安全级别3.隐私设置4.内容设置5.连接与高级设置
计算机网络安全技术(微课版)课件 第6章 防火墙与VPN技术.pptx
辽宁省鞍山市部分2025-2026学年高二上学期期末测试历史试题含答案.docx
【生物】皮肤与汗液分泌课件-2025-2026学年北师大版生物七年级下册.pptx
辽宁省地区2025-2025=6学年高一上学期期末考试历史试题含答案.docx
【生物】人与自然和谐共生课件 -2025--2026学年人教版生物八年级下册.pptx
【政治】权利与义务相统一课件-2025-2026学年统编版道德与法治八年级下册.pptx
【政治】认识国家安全课件-2025-2026学年统编版道德与法治八年级上册.pptx
【政治】依法履行义务课件-2025-2026学年统编版道德与法治八年级下册.pptx
2.5 艰辛探索与曲折发展 课件 2025-2026学年统编版八年级历史下册.pptx
日本 ONKYO(安桥)TX-NR656 AV接收机用户使用手册.pdf
原创力文档创建于2008年,本站为文档C2C交易模式,即用户上传的文档直接分享给其他用户(可下载、阅读),本站只是中间服务平台,本站所有文档下载所得的收益归上传人所有。原创力文档是网络服务平台方,若您的权利被侵害,请发链接和相关诉求至 电线) ,上传者
- 手机:
- 13968960023
- 邮箱:
- kuyou@chaoshuntong.com
- 电话:
- 010-80480367
- 地址:
- 北京市怀柔区琉璃庙镇老公营村293号-20室
