《网络安全与管理》第7章 WWW安全性

第七章WW安全性 第七章WWW安全性 7,1HTTP协议及WWW服务 72WWW服务器的安全性 73Web欺骗 74WWW客户安全性 75增强WWW的安全性

第七章 WWW安全性 第七章 WWW安全性 7.1 HTTP协议及WWW服务 7.2 WWW服务器的安全性 7.3 Web欺骗 7.4 WWW客户安全性 7.5 增强WWW的安全性

第七章WW安全性 本章学习目标 本章本章主要介绍了WWW的有关安全问题。通过本章学习,读 者应该掌握以下内容: Web与HTP协议,HTP数据包的过滤特性和代理特性,Web的 访问控制,HTTP的安全问题,S-http和SSL的简介,缓存的安 全性; WWW服务器的安全漏洞;NcsA、 Apache、 Netscape的安全 问题 cGI程序的安全性问题; Plug-in的安全性问题 Java与 JavaScrip?的安全性问题; Cookies的安全性; Activex的安全性; Web攻击的行为特点;与Web安全相关的决策; WWW客户安全性 如何增强WWW的安全性 返回本章首页

第七章 WWW安全性 本章学习目标 本章本章主要介绍了WWW的有关安全问题。通过本章学习，读 者应该掌握以下内容： Web与HTTP协议，HTTP数据包的过滤特性和代理特性，Web的 访问控制，HTTP的安全问题，S-HTTP和SSL的简介，缓存的安 全性； WWW服务器的安全漏洞；NCSA、Apache、Netscape的安全 问题； CGI程序的安全性问题； Plug-in的安全性问题； Java与JavaScript的安全性问题； Cookies的安全性； ActiveX的安全性； Web攻击的行为特点；与Web安全相关的决策； WWW客户安全性； 如何增强WWW的安全性； 返回本章首页

第七章WW安全性 71HTTP协议及WWW服务 7.1.1HTTP协议及其安全性 7.1.2Web的访问控制 7.13安全超文本传输协议S-http 715安全套接层SsL 716缓存的安全性 ""“ 返回本章首页

第七章 WWW安全性 7.1 HTTP协议及WWW服务 7.1.1 HTTP协议及其安全性 7.1.2 Web的访问控制 7.1.3 安全超文本传输协议S-HTTP 7.1.5 安全套接层SSL 7.1.6 缓存的安全性 返回本章首页

第七章WW安全性 7.11HTP协议及其安全性 HTTP协议(HypertextTransferProtocol,超文本 传输协议)是分布式的Web应用的核心技术协议,在 TCP/IP协议栈中属于应用层。它定义了Web浏览器 向Web服务器发送Web页面请求的格式,以及Web页 面在 Internet上的传输方式。 HTTP协议允许远程用户对远程服务器的通信请求, 这会危及Web服务器和客户的安全 HTTP的另一个安全漏洞就是服务器日志。 返回本

第七章 WWW安全性 7.1.1 HTTP协议及其安全性 HTTP协议（Hypertext Transfer Protocol，超文本 传输协议）是分布式的Web应用的核心技术协议，在 TCP/IP协议栈中属于应用层。它定义了Web浏览器 向Web服务器发送Web页面请求的格式，以及Web页 面在Internet上的传输方式。 HTTP协议允许远程用户对远程服务器的通信请求， 这会危及Web服务器和客户的安全 HTTP的另一个安全漏洞就是服务器日志。 返回本节

第七章WW安全性 7.12Web的访问控制 IP地址并不能得到解析,因为客户机本地名字服务器配置可能不正 确,这个时候HTTP服务器就伪造一个域名继续工作。一旦Web服 务器获得IP地址及相应客户的域名,便开始进行验证,来决定客户 是否有权访问请求的文档。这其中隐含着安全漏洞。 可用一些方法来增强服务器的安全性 返回本

第七章 WWW安全性 7.1.2 Web的访问控制 IP地址并不能得到解析，因为客户机本地名字服务器配置可能不正 确，这个时候HTTP服务器就伪造一个域名继续工作。 一旦Web服 务器获得IP地址及相应客户的域名，便开始进行验证，来决定客户 是否有权访问请求的文档。这其中隐含着安全漏洞。 可用一些方法来增强服务器的安全性 返回本节

第七章WW安全性 713安全超文本传输协议S-http sHTP( Secure Hyper Text Transfer Protocol)是保护 Internet上所传输的敏感信息的安全协议。随着 Internet和Web 对身份验证的需求的日益增长,用户在彼此收发加密文件之前需 要身份验证。S-http协议也考虑了这种需要。 s-HTP的目标是保证蓬勃发展的商业交易的传输安全,因而推 动了电子商务的发展。SHTP使Web客户和服务器均处于安全 保护之下,其信息交换也是安全的。 返回本

第七章 WWW安全性 7.1.3 安全超文本传输协议S-HTTP S-HTTP（Secure Hyper Text Transfer Protocol）是保护 Internet上所传输的敏感信息的安全协议。随着Internet和Web 对身份验证的需求的日益增长，用户在彼此收发加密文件之前需 要身份验证。S-HTTP协议也考虑了这种需要。 S-HTTP的目标是保证蓬勃发展的商业交易的传输安全，因而推 动了电子商务的发展。S-HTTP使Web客户和服务器均处于安全 保护之下，其信息交换也是安全的。 返回本节

第七章WW安全性 7.15安全套接层SSL ssL( Secure Sockets Layer)是 Netscape公司设计和开发的, 其目的在于提高应用层协议(如HTTP,Telnet,NNTP,FTP等) 的安全性。SSL协议的功能包括:数据加密、服务器验证、信息完 整性以及可选的客户TcP/IP连接验证。SSL的主要目的是增强通 信应用程序之间的保密性和可靠性。 ssL是两层协议,它依赖了一些可靠的传输协议 ssL不同于S-HTP之处在于后者是HTP的超集,只限于Web ssL可以使用各种类型的加密算法和密钥验证机制 安全方案不仅仅只有SSL和sHTP 返回本

第七章 WWW安全性 7.1.5 安全套接层SSL SSL（Secure Sockets Layer）是Netscape公司设计和开发的， 其目的在于提高应用层协议（如HTTP，Telnet，NNTP，FTP等） 的安全性。SSL协议的功能包括：数据加密、服务器验证、信息完 整性以及可选的客户TCP/IP连接验证。SSL的主要目的是增强通 信应用程序之间的保密性和可靠性。 SSL是两层协议，它依赖了一些可靠的传输协议 SSL不同于S-HTTP之处在于后者是HTTP的超集，只限于Web SSL 可以使用各种类型的加密算法和密钥验证机制 安全方案不仅仅只有SSL和S-HTIP 返回本节

第七章WW安全性 71.6缓存的安全性 缓存通过在本地磁盘中存储高频请求文件,从而大大提高 Web服务的性能。不过,如果远程服务器上的文件更新了, 用户从缓存中检索到的文件就有可能过时。而且,由于这些文 件可由远程用户取得,因而可能暴露一些公众或外部用户不能 读取的信息。 HTTP服务器通过将远程服务器上文件的日期与本地缓存的 文件日期进行比较可以解决这个问题。 返回本

第七章 WWW安全性 7.1.6 缓存的安全性 缓存通过在本地磁盘中存储高频请求文件，从而大大提高 Web服务的性能。不过，如果远程服务器上的文件更新了， 用户从缓存中检索到的文件就有可能过时。而且，由于这些文 件可由远程用户取得，因而可能暴露一些公众或外部用户不能 读取的信息。 HTTP服务器通过将远程服务器上文件的日期与本地缓存的 文件日期进行比较可以解决这个问题。 返回本节

第七章WW安全性 72WWW服务器的安全性 721WWW服务器的安全漏洞 722通用网关接口(cGT)的安全性 723Pug-in的安全性 724Java与 JavaScript的安全性 725 Cookies的安全性 7.26 Activex的安全性 ""“ 返回本章首页

第七章 WWW安全性 7.2 WWW服务器的安全性 7.2.1 WWW服务器的安全漏洞 7.2.2通用网关接口(CGI)的安全性 7.2.3 Plug-in的安全性 7.2.4 Java与JavaScript的安全性 7.2.5 Cookies的安全性 7.2.6 ActiveX的安全性 返回本章首页

第七章WW安全性 72.1WWW服务器的安全漏洞 1.NCSA服务器的安全漏洞 2. Apache www服务器的安全问题 3. Netscape的WWW服务器的安全问题 返回本

第七章 WWW安全性 7.2.1 WWW服务器的安全漏洞 1．NCSA服务器的安全漏洞 2．Apache WWW服务器的安全问题 3．Netscape的WWW服务器的安全问题 返回本节