第8章 Web站点的安全
计算机网络安全基础_第08章_防火墙技术
2019年8月26日3时16分
计算机网络安全基础
8.1 防火墙基本概念
1.试验网络
在大多数情况下,应该在内部防火墙中设置这样的
网络,并给每个试验网络配置一台路由器并连接到参数
网络。而主要的包过滤工作在连接参数网络与内部主网
的路由器上完成。
2019年8月26日3时16分
计算机网络安全基础
8.1 防火墙基本概念
2.低保密网络 试验网络比较危险,但它对整个内部网的安全构成
的威胁还不是最大的。而许多内部网组织结构里面的资 源本身就固有一些非安全因素。比如,校园网中那些包 含学生公寓网点的部分就被认为是不安全的,单位企业 网中的那些演示网部分、客户培训网部分和开放实验室 网部分都被认为是安全性比较差的。但这些网又比纯粹 的外部网与内部网其它部分的交互要多得多。这些网络 称为低保密网。
2019年8月26日3时16分
计算机网络安全基础
8.1 防火墙基本概念
内部网需要防范的三种攻击有: 间谍:试图偷走敏感信息的黑客、入侵者和闯入者。 盗窃:盗窃对象包括数据、Web表格、磁盘空间和CPU 资源等。 破坏系统:通过路由器或主机/服务器蓄意破坏文件系 统或阻止授权用户访问内部网 (外部网)和服务器。
2019年8月26日3时16分
计算机网络安全基础
8.1 防火墙基本概念
8.1.6 内部防火墙
但有时为了某些原因,我们还需要对内部网的部分 站点再加以保护以免受其它站点的侵袭。因此,有时我 们需要在同一结构的两个部分之间,或者在同一内部网 的两个不同组织结构之间再建立防火墙(也被称为内部 防火墙)。
第8章Web界面设计
的信息内容来分类的。 对目标用户的行为方式来分析:按照人机工程学的
观点,行为方式受年龄、性别、地区、种族、职业、 生活习俗、受教育程度等因素影响。
人机交互技术编写组
34
8.6 Web界面概要设计
Web界面概要设计包括 Web界面框架设计 Web界面的内容与风格的设计 Web界面设计的语言与文化
人机交互技术编写组
16
8.4.1 站点架构和导航设计
站点结构
站点的结构可分为逻辑结构和物理结构:
逻辑结构描述文档间的关系,定义文档间的链接。 物理结构描述文档的实际位置及显示方式 。
超文本结构中最常用层次结构
层次型结构按信息的必要性来改变信息的显示方式。 根网页是站点的主页,层次以根网页开始。 用户深入站点时,选择趋向于越来越具体,直到找
人机交互技术编写组
21
8.5.1 Web界面设计基本原则
1.了解浏览者的心理状态
从心理学的角度分析浏览者的心理状态,有 助于网页页面的设计。
在单击“退回”按钮之前有三秒钟而且只有 三秒的等待。
必须迅速地把有趣和有吸引力的东西显示出 来。
人机交互技术编写组
22
8.5.1 Web界面设计基本原则
人机交互技术编写组
31
8.5.2 Web界面规划
确定Web界面设计的目标
企业Web网站:
企业建立这个Web网站的目的 这个网站的作用 该提供哪些吸引访问者的东西 用户访问这个Web网站后,能给他们带来什么?
个人Web网站 :
主要是展现自我、演练技术 。 建立的Web网站要有个性和特色 。
人机交互技术编写组
9
网络安全实用技术答案
选择题部分:第一章:(1)计算机网络安全是指利用计算机网络管理控制和技术措施,保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。
A.保密性(2)网络安全的实质和关键是保护网络的安全。
C.信息(3)实际上,网络的安全问题包括两方面的内容:一是,二是网络的信息安全。
D.网络的系统安全(4)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了 . C.可用性(5)如果访问者有意避开系统的访问控制机制,则该访问者对网络设备及资源进行非正常使用属于。
B.非授权访问(6)计算机网络安全是一门涉及计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术和信息论等多学科的综合性学科,是的重要组成部分。
A.信息安全学科(7)实体安全包括。
B.环境安全、设备安全和媒体安全(8)在网络安全中,常用的关键技术可以归纳为三大类。
D.预防保护、检测跟踪、响应恢复第二章:(1)加密安全机制提供了数据的______.D.保密性和完整性(2)SSI.协议是______之间实现加密传输协议.A.传输层和应用层(3)实际应用时一般利用_____加密技术进行密钥的协商和交换.利用_____加密技术进行用户数据的加密.B.非对称对称(4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务是。
B.数据保密性服务(5)传输层由于可以提供真正的端到端链接,因此最适宜提供安全服务.D.数据保密性及以上各项(6)VPN的实现技术包括。
D.身份认证及以上技术第三章:(1)网络安全保障包括信息安全策略和 .D.上述三点(2)网络安全保障体系框架的外围是 .D.上述三点(3)名字服务、事务服务、时间服务和安全性服务是提供的服务。
C.CORBA网络安全管理技术(4)一种全局的、全员参与的、事先预防、事中控制、事后纠正、动态的运作管理模式是基于风险管理理念和。
A.持续改进模式的信息安全运作模式(5)我国网络安全立法体系框架分为。
计算机网络_自顶向下方法_(中文版课件)第八章_网络安全.TopDownV3-8
+ KB
网络安全 18
RSA: 加密,解密
0. 给定(n,e)和(n,d)如上面所计算 1. 为加密比特模式, m, 计算
c = m e mod n (即当 me被n相除时的余数)
(m mod n) d mod n = m edmod n = m
e
ed mod (p-1)(q-1)
1
(using number theory result above)
mod n
= m mod n
(因为我们选择ed(p-1)(q-1) 相除具有余数1 )
= m
网络安全 21
RSA: 另一个重要性质
Alice的 IP 地址
加密的 “I’m Alice” 口令
记录并重放 仍然有效!
Alice的 IP地址
OK
Alice的 IP地址
加密的 “I’m Alice” 口令
网络安全
31
鉴别:另一种尝试
目标:避免重放攻击 不重数(Nonce): 数字(R)一生仅用 一次 ap4.0: 为了证实 Alice “活跃”, Bob向Alice发送不重数 。 Alice必须返回 R, 用共享的秘密密钥加密 “I am Alice” R KA-B(R) 实效,缺点?
网络安全 3
什么是网络安全?
机密性: 仅发送方,希望的接收方应当“理解” 报文内容 发送方加密报文 接收方解密报文 鉴别: 发送方、接收方要证实彼此的身份 报文完整性: 发送方、接收方要确保报文(在传输 或以后)不在不知不觉中被篡改 访问和可用性: 服务必须可访问和为用户可用
信息安全技术基础
国际标准化委员会定义:“为数据处理系统而采 取的技术的和管理的安全保护,保护计算机硬件、 软件、数据不因偶然的或恶意的原因而遭到破坏 (可用性)、更改(完整性)、显露(机密性)”
2021/5/8
12
信息安全是什么?
管理/人员安全
数据/信息安全
机密性 (Confidentiality)
运行安全
实体/物理安全
挥中心的主计算机系统,导致伊军指挥系统失灵,
整个防空系统随即瘫痪,完全陷入了被动挨打的
境地。
2021/5/8
9
黑客非法入侵
英国电脑奇才贝文,14岁就成功非法侵入英国电信 公司电脑系统,大打免费电话。后来他出、入世界 上防范最严密的系统如入无人之境,如美国空军、 美国宇航局和北约的网络。1996年因涉嫌侵入美国 空军指挥系统,被美国中央情报局指控犯有非法入 侵罪。
可加载病毒和蠕虫 (如脚本病毒….)
2021/5/8
1980s
1990s 5
20005s
Today
2021/5/8
6
2021/5/8
2012 年2月7日 中铁二局网站被黑截图
7
计算机病毒
1988年11月美国康乃尔大学(Cornell University) 的研究生罗伯特.莫里斯(Robert Morris)利用 UNIX操作系统的一个漏洞,制造出一种蠕虫病毒, 造成连接美国国防部、美军军事基地、宇航局和研 究机构的6000多台计算机瘫痪数日,整个经济损失 达9600万美元。
14
计算机安全
➢ 计算机安全( ISO,国际标准化组织的定义)是指为数据处 理系统建立和采取的技术和管理的安全保护,保护计算机硬 件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和 泄密。
第8章 Web服务器配置和管理
第8章 Web服务器的配置和管理本章学习目标本章主要讲解Windows Server 2008 Web服务器的基本知识及相关配置应用,通过本章的学习,读者应该掌握以下内容:●Web服务器的安装●Web服务器的相关配置●Web站点和虚拟目录的区别●网站环境的搭建Web服务是网络中应用最为广泛的服务,主要用来搭建Web网站,向网络发布各种信息。
如今企业网站都拥有自己的网站,用来发布公司信息、宣传公司、实现信息反馈等。
使用Windows server 2008 可以轻松方便的搭建Web网站。
8.1 IIS概述IIS(Internet Information Services,互联网信息服务),是由微软公司提供的,用于配置应用程序池或Web网站、Ftp站点、SMTP或NNTP站点的,基于MMC(Microsoft Management Console)控制台的管理程序。
IIS是Windows Server 2008操作系统自带的组件,无需第三方程序,即可用来搭建基于各种主流技术的网站,并能管理Web服务器中的所有站点。
8.1.1 IIS简介IIS即Internet信息服务,是Windows Server 2008 (2003)操作系统集成的服务,通过该服务可以搭建Web网站,与Internet、Intranet或Extranet上的用户共享信息。
在Windows Server 2008 企业版中的版本是IIS7.0,IIS7.0是一个集成了IIS、、Windows Communication Foundation的统一的Web平台,可以运行当前流行的、具有动态交互功能的网页。
支持使用任何与.NET兼容的语言编写的Web应用程序。
IIS7.0提供了基于任务的全新UI(用户界面)并新增了功能强大的命令行工具,借助这些工具可以方便的实现对IIS和Web站点的管理。
同时,IIS7.0引入了新的配置存储和故障诊断和排除功能。
网络规划设计师8
19
《网络规划与设计 网络规划与设计》 冶金工业出版社
网络规划与设计——第八章
8.5.3 网页配色
• 1. 2. 3. 4. 网页色彩搭配的原理 : 色彩的鲜明性。 色彩的独特性。 色彩的合适性。 色彩的联想性。
20
《网络规划与设计 网络规划与设计》 冶金工业出版社
6
《网络规划与设计 网络规划与设计》 冶金工业出版社
网络规划与设计——第八章
8.2 网站的整体风格和创意设计
(1)风格是什么,如何树立网站风格? (2)创意是什么,如何产生创意?
7
《网络规划与设计 网络规划与设计》 冶金工业出版社
网络规划与设计——第八章
8.2.1 风格
• 风格(style)是抽象的。是指站点的整体形象给 浏览者的综合感受。 • 风格是独特的,是站点不同与其他网站的地方。 • 风格是有人性的。
8.6 网页字体的设置
• 1. 2. 3. 4. 5. 字体使用技术 字符集的设定 字体的使用 字体的效果 字体大小的控制 字体超链接样式的设定
22
《网络规划与设计 网络规划与设计》 冶金工业出版社
网络规划与设计——第八章
8.6.2 字体使用原则
(1)不要使用超过3种以上的字体。字体太多则显得杂乱, 没有主题。 (2)不要用太大的字。因为版面是宝贵,有限的,粗陋的 大字体不能带给访问者更多信息。 (3)不要使用不停闪烁的文字。想让浏览者多停留一会儿 的话,就不要使用闪烁的文字。 (4)原则上标题的字体较正文大,颜色也应有所区别。
5
《网络规划与设计 网络规划与设计》 冶金工业出版社
网络规划与设计——第八章
网络安全实用技术答案
选择题部分:第一章:(1)计算机网络安全是指利用计算机网络管理控制和技术措施,保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。
A.保密性(2)网络安全的实质和关键是保护网络的安全。
C.信息(3)实际上,网络的安全问题包括两方面的内容:一是,二是网络的信息安全。
D.网络的系统安全(4)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了。
C.可用性(5)如果访问者有意避开系统的访问控制机制,则该访问者对网络设备及资源进行非正常使用属于。
B.非授权访问(6)计算机网络安全是一门涉及计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术和信息论等多学科的综合性学科,是的重要组成部分。
A.信息安全学科(7)实体安全包括。
B.环境安全、设备安全和媒体安全(8)在网络安全中,常用的关键技术可以归纳为三大类。
D.预防保护、检测跟踪、响应恢复第二章:(1)加密安全机制提供了数据的______.D.保密性和完整性(2)SSI.协议是______之间实现加密传输协议。
A.传输层和应用层(3)实际应用时一般利用_____加密技术进行密钥的协商和交换.利用_____加密技术进行用户数据的加密。
B.非对称对称(4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务是。
B.数据保密性服务(5)传输层由于可以提供真正的端到端链接,因此最适宜提供安全服务。
D.数据保密性及以上各项(6)VPN的实现技术包括。
D.身份认证及以上技术第三章:(1)网络安全保障包括信息安全策略和。
D.上述三点(2)网络安全保障体系框架的外围是。
D.上述三点(3)名字服务、事务服务、时间服务和安全性服务是提供的服务。
C.CORBA网络安全管理技术(4)一种全局的、全员参与的、事先预防、事中控制、事后纠正、动态的运作管理模式是基于风险管理理念和。
A.持续改进模式的信息安全运作模式(5)我国网络安全立法体系框架分为。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
25
8.2 Web面临的安全威胁
常见的Web应用程序攻击
6. 缓冲区溢出 缓冲区溢出是指当计算机程序向缓冲区内填充的数 据位数超过了缓冲区本身的容量,溢出的数据覆盖 在合法数据上。 如果相关数据里包含了恶意代码,那么溢出的恶意 代码就会改写应用程序返回的指令,使其指向包含 恶意代码的地址,使其被 CPU 编译而执行。
Web的特点
3)Web是分布式的 Web能使物理上并不一定在一个站点的信息在逻辑 上一体化。 4)Web是动态的 信息的提供者可以经常对站上的信息进行更新。 5)Web是交互的 Web的交互性表现在它的超连接上;此外,用户可 通过填写FORM向服务器提交请求,服务器根据用 户的请求返回相应信息。
22
24
8.2 Web面临的安全威胁
常见的Web应用程序攻击
4. 参数篡改 参数篡改包括操纵URL字符串来检索用户用正常方 式得不到的信息。导致该漏洞的主要原因是Web应 用程序没有对客户端提交的参数进行严格的检验。 5. 输入信息控制 输入信息控制包括通过控制由 CGI 脚本处理的 HTML 格式中的输入信息来运行系统命令。能将服 务器的口令文件邮寄给恶意的用户或者删除系统上 的所有文件。
4
8.1 Web基本概念
国际互联网络Internet
Internet 提供的服务可归纳9项 : 1. 远程登录服务 远程登录是Internet最早提供的基本服务功能之一。 Internet中的用户远程登录使用了Telnet命令, Telnet协议是TCP/IP协议的一部分,它详细定义了 客户机与远程服务器之间的交互过程。它的主要优 点是能够解决不同类型的计算机系统之间的互操作 问题。
30
8.3 针对Web应用用程序漏洞的过 程大致分为四步 :
1)确定检测目标,确定Web服务器的IP地址或域名 地址。 2)从Web应用程序漏洞库列表中提取检测漏洞,或 者从插件组中选取检测插件。 3)发送检测请求,根据响应信息判断是否存在漏洞。 4)返回Web应用程序存在的漏洞类别。
33
8.3 针对Web应用程序漏洞的攻击
常见的Web应用程序漏洞
2. 源代码泄露漏洞 源代码泄露漏洞的产生是由输入验证错误引起的。 3. 目录遍历漏洞 目录遍历攻击指的是恶意用户找到受限文件的位臵 并且浏览或者执行它们。主要通过猜测文件是否存 在的方法进行。
34
8.3 针对Web应用程序漏洞的攻击
World Wide Web简介
2)超文本模式 Web在Internet上基于超文本臵标语言(HTML)、 超 文本传输协议(HTTP)和统一资源定位器(URL)。 超文本可以简单定义为收集、存储和浏览离散信息, 以及建立和表示信息之间关系的技术。 超文本赋予了Web一种强有力的功能,使得用户以 同一种方式来访问所有的Internet资源。
20
8.1 Web基本概念
Web的特点
1)Web是图形化的和易于导航的 Web具有将图形、音频、视频信息集合于一体的特 性。同时,Web是非常易于导航的,只需要从一个 链接跳到另一个链接,就可以在各页各站点之间进 行浏览了。
2)Web与平台无关 浏览WWW对用户系统平台没有什么限制。
21
8.1 Web基本概念
《计算机网络安全》 课程讲义
清华大学出版社
1
第八章
Web站点的安全
2
本章内容
Web网络安全的概念、机制和特点 Web站点的安全隐患 网络安全的一些安全漏洞及测试 有利于Web站点安全的技术实现 防火墙在Web站点安全中的应用
3
学习目标
了解Web网络安全的概念、机制和特点 认识Web站点的安全隐患 掌握网络安全的一些安全漏洞及测试 描述有利于Web站点安全的技术实现 了解防火墙在Web站点安全中的应用
5)SQL语言 SQL是高级的非过程化编程语言,允许用户在高层 数据结构上工作。具有不同底层结构的不同数据库 系统可以使用相同的SQL语言作为数据输入与管理 的接口。 SQL语言包含4个部分:数据定义语言 、数据操作语 言、数据查询语言 、数据控制语言 。
18
8.1 Web基本概念
World Wide Web简介
31
8.3 针对Web应用程序漏洞的攻击
确定目标后,检测过程如图 :
32
8.3 针对Web应用程序漏洞的攻击
常见的Web应用程序漏洞
1. 物理路径泄露漏洞 提供Web、Ftp等公共服务的服务器都可能出现物理 路径泄露的问题。 Web服务器路径泄露漏洞通常是由Web服务器处理 用户请求出错导致的,返回结果时将网站本身所在 的物理路径暴露出来,从而被攻击者利用。
15
8.1 Web基本概念
World Wide Web简介
3)HTML语言 Web信息服务系统使用的超文本是用HTML语言编 写的。当用户使用Web服务客户浏览程序通过 Internet阅读这些超文本时,客户浏览程序负责解释 文本中嵌入的HTML,并按照HTML命令将文本中 的信息显示给用户。
16
7
8.1 Web基本概念
国际互联网络Internet
FTP在本地和远程文件系统之间传输文件的过程如图 所示:
8
8.1 Web基本概念
国际互联网络Internet
3. 电子邮政服务 电子邮政简称为E-mail,是一种通过计算机网络与其 他用户进行通信的现代化手段。用户必须向提供电 子邮政服务的机构提出申请,该机构在其与Internet 联网的计算机上为用户建立一个电子邮箱,分配一 个E-mail地址。
5
8.1 Web基本概念
国际互联网络Internet
Telnet采用了客户机/服务器模式,其结构如图所示:
6
8.1 Web基本概念
国际互联网络Internet
2. 文件传送服务FTP FTP服务由TCP/IP的文件传输协议支持。只要加入 Internet网的两台计算机都支持TCP/IP协议,无论它 们相距多远,用户都能将一台计算机上的文件传输 到另一台计算机上。
27
8.2 Web面临的安全威胁
常见的Web应用程序攻击
8. 不安全的配臵 许多操作系统和应用程序的缺省配臵是非常不安全 的。这些缺省配臵有:开放了大量不必要的服务、 安装某些不安全的第三方软件、使用缺省口令、缺 省例子程序、不正确的文件访问许可设臵等。 为了避免被攻击者利用,在程序启用之前应该被重 新配臵。
9
8.1 Web基本概念
国际互联网络Internet
4.名址服务 名址服务器可以向用户提供对用户名址,计算机名 址和E-mail地址的查询服务。 5. 文档查询服务 Internet中有一种被称为文档查询服务器(Archie server)的计算机,用户只要向这种服务器提供希望 查找的文件的文件名或文件描述说明中包含的字符 串,文档查询服务器就能查找到存放着所需文件的 FTP服务器。
37
8.3 针对Web应用程序漏洞的攻击
常见的Web应用程序漏洞
7. CGI漏洞攻击 CGI程序是交互性的,当攻击者提交了一些非正常的 数据,那么服务器在解释这些数据时可能会绕过 IIS 对文件名所作的安全检查。
26
8.2 Web面临的安全威胁
常见的Web应用程序攻击
7. 调试选项及后门 程序开发人员常常建立一些后门,并依靠调试选项 来排除应用程序的故障,这些安全漏洞经常被留在 一些放在Internet上的最终应用中。 一些常见的后门使攻击者不用口令就可以登录或者访 问允许直接进行应用配臵的特殊URL。
12
8.1 Web基本概念
World Wide Web简介
1. Web的产生和发展 World Wide Web 简写为WWW或Web,是Tim Berners-Lee在CERN发明的。 Web实际上是世界范 围内相互联系的文件的大集合。
13
8.1 Web基本概念
World Wide Web简介
23
8.2 Web面临的安全威胁
常见的Web应用程序攻击
3.跨站脚本执行 跨站脚本执行漏洞的成因是因为CGI程序没有对用户 提交的变量中的HTML代码进行过滤或转换。
导致的威胁包括获取其他用户Cookie中的敏感数据、 屏蔽页面特定信息、伪造页面信息、拒绝服务攻击、 突破外网内网不同安全设臵、与其它漏洞结合、修 改系统设臵、查看系统文件和执行系统命令等。
6)统一资源定位器URL URL是一种统一格式的Internet信息资源地址表达方 法,它将Internet提供的各类服务统—编址,以便用 户通过Web客户程序进行查询。
19
8.1 Web基本概念
World Wide Web简介
7)Web浏览器 Web浏览器是一种功能强大的用于在Web上阅读文件 的工具,常见的功能如表所示:
常见的Web应用程序漏洞
4. 执行任意命令 攻击的思想是运行自己输入的命令,而不是按照开 发人员预期的那样,执行某个指定的程序。攻击这 种漏洞的目标是发送到服务器上的操作系统命令或 者可执行程序的户输入。
35
8.3 针对Web应用程序漏洞的攻击
常见的Web应用程序漏洞
5. 缓冲区溢出漏洞 缓冲区溢出是针对Web应用最严重的一种攻击。恶 意的输入会侵占其他程序堆栈的内存空间,使得内 存中原有的其他数据被覆盖。
8.1 Web基本概念
World Wide Web简介
4)超文本传输通信协议HTTP HTTP协议是一种很简单的通信协议,其实现基础是 通过网络查询的文件包含着可以实现进一步查询的 链接。 HTTP定义浏览器和服务器如何通信并传递信息。