web现在不仅是IT人事的生活所需,而且是我们了解和谐社会、纵览世界文化的直接途径。web所讲的故事像又宽又深的海,我们操作它的同时也许永远触摸不到它的底线。
然而在web的大家庭中有一支青年近卫军,它们的地位和作用与日俱增,开发者不断使它年轻化、壮大化,它的枪膛上满了×××,眼神里不会流露出胆怯。WEB安全的理念伴随着我们每天的成长,人们对它的要求更多、依赖更多了。WTP (Web Threat Protection)——“上网无忧电子眼”,我试用期间感觉很符合我们大众,而且各项性能,速度、可操作性、引擎等都非常出色,感觉离我们真的很近,很亲切。
web的结构是经典的不能在经典的b/s模式了。浏览器相当于browser;而数据库、中间动态生成器、应用则三点一线构成了server。
WEB的开发环境简单的分为:CGI,ASP,JAVA。三种各有千秋,又各有弊病,竞争促使开发者不断追求理论上的“无懈可击”。只要是人设计出来都会有问题,理论在于我们的速度能把我们的东西带到什么高度,那样可能我们的东西就更接近“完美”一些。
前人总结的都很好了,经典的东西是永远不会退色的。
一、CGI的安全威胁大概分为:
1.字节问题
Parse $user_input
$database=“user_input.db”;
Open(FILE”<$database”>);
提交/etc /passwd\0 时就可能打开passwd
2.处理文件名
分号命令分隔
/ 目录分割
./ 当前目录
../ 上级目录
3.处理HTML
允许输入HTML,就如同给外界开了一个VIP通道,恶意破坏者可能会通过输入脚本语言获取口令,来入侵我们的机器。
4.处理外部进程
外部检测是我们必须做好的,SHELL脚本会和合法数据一起执行。可能会导致意外的行为,给服务器造成麻烦。
6.处理内部函数
这个可能是用户输入的数据不正确导致系统出错。
二、ASP的安全威胁
1.泄露源代码
[url]http://www.somehost.com/some.asp::$DATA[/url]
[url]http://www.somehost.com/some.asp&2e[/url]
[url]http://www.somehost.com/some.asp[/url]
[url]http://www.somehost.com/some%2e@41sp[/url]
[url]http://www.somehost.com/some%2e%asp[/url]
2.FileSystemObiect
文件操作可通过VB的FileSystemObiect来执行
例:查看文件的ASP源码(调用格式[url]http://xxxx/cat.asp?file=[/url]文件名
<%
Response.ContextType=“text/plain”
file=Request.QueryString(“file”)
set fsFilesys=CreateeObiect(“Scripting.FileSystemObject”)
set tsCoffee=fsFilesys.OpenTextFile(file)
Response.Write tsCoffee.Readall
tsCoffee.Close
set fsFilesys=Nothing
set fsFilesys=Nothing
%>
3.数据库密码验证
sql=“select * from user where username=“”&username&””and pass=“”& pass&””
sql=“select * from user where username=“”hacker” or ‘1’ =1 & ”and pass=“”& pass&””
4.包含文件.inc
很多代码或者配置信息会写到.inc文件中,这样如果有错误的话会暴露路径和代码。
1..Cookies的安全性问题,Cookies的作用是浏览状态记忆;危害就是会留下痕迹
2..ActiveX的安全性问题,ActiveX的作用是本地编译可执行2进制代码用于分发软件;危害即使经过签名仍然有可能破坏,隐患太大。
四、web威胁与对策
1.威胁:
修改用户的数据、特洛伊木马浏览器、修改内存、修改传输的数据流、网上偷听、从服务器处偷信息、从客户端处偷信息、关于网络配置的信息、关于客户连接的信息、中断用户连接、用伪造的威胁淹没服务器、塞满硬盘或内存、攻击DNS隔离服务器、冒充合法用户、数据伪造
2.后果:
信息丢失、机器暴露、其它所有威胁的弱点、丢失信息、丢失隐私、中断、骚扰、阻止用户完成正常工作、以假乱真、误信错误信息
3.对策:
加密校验、加密Web代理、加密技术
五、基于Web信息流的安全方法
网络层——IP 安全性(IPSec)
传输层—— SSL / TLS
应用层——S/MIME,PGP,SET,Kerberos
六、基于Web信息流的安全方法:SSL -Secure Socket Layer
以下是简单的介绍:
1.在互联网上访问某些网站时也许你会注意到在浏览器窗口的下方会显示一个锁的小图标。这个小锁表示什么意思呢?它表示该网页被SSL保护着SSL全称为“Secure Sockets Layer”;安全套接层是一种用于网站安全连接的协议或技术。
2.所谓的安全连接有两个作用
首先是SSL可以提供信息交互双方认证对方的身份标识,显而易见地这对当你开始与对方交换机密信息前确切了解对方身份是非常重要的SSL通过数字证书的技术实现使得这一,需求得以满足;
另一个是它能够使数据以不可读的格式传输以利于在不可信网络例如互联网上的安全传输需要这种不可读格式,通常由加密技术实现。
3.源于Netscape开发V3首先作为RFC发布后IETF建立一个TLS工作小组作为Internet Standard TLS的第一个版本可以看作是SSLv3.1。
SSL被设计用来使用TCP提供一个可靠的端到端安全服务。
SSL Record Protocol为更高层提供基本安全服务。特别是HTTP,它提供了Web的client/server交互的传输服务,可以构造在SSL之上。
SSL Handshake Protocol, SSLChange Cipher Spec Protocol, SSL Alert Protocol是SSL的高层协议,用于管理SSL交换。
5.SSL的两个重要概念
SSL连接(connection)
一个连接是一个提供一种合适类型服务的传输(OSI分
层的定义)。
SSL的连接是点对点的关系。
连接是暂时的,每一个连接和一个会话关联。
SSL会话session
一个SSL会话是在客户与服务器之间的一个关联,会话由Handshake Protocol创建,会话定义了一组可供多个连接共享的加密安全参数。
会话用以避免为每一个连接提供新的安全参数所需昂贵
的谈判代价。
6.数字证书
一种能在完全开放系统,用来标识某些主体如一个人或一个网站的机制。一个数字证书包含的信息必须能鉴定用户身份,确保用户就是其所持有证书中声明的用户。数字证书由CA Certificate Authorities 机构承认。CA是被银行、政府和其它公共机构认可用于标识证书所有者的第三方机构除了唯一的标识信息外数字证书还包含了证书所有者的公共密钥。想到这里我不得不怀疑农行新上的证书系统。。。要么扬名华夏成为一时之“杰”,要么功败垂成。
7.SSL应用中的安全问题
Client系统Server系统Keys和Applications都要安全
短的公开密钥加密密钥以及匿名服务器需谨慎使用
对证书CA要谨慎选择
密钥管理
8.证书的弱点
CA机构并不总是可靠的,而且缺乏准确性和灵活性。
9.暴力攻击证书
即使很困难,在理论上也会成立的,如果有一个特定的环境和条件,攻破服务器还是有可能的。暴力攻击证书的方便之处在于它仅需要猜测一个有效的用户名,而不是猜测用户名和口令。
10.木马窃取证书
攻击者可能试图窃取有效的证书及相应的私有密钥,最简单的方法是利用木马。这种攻击一旦成功,几乎客户端证书就是浮云。
SSL的实现
– Windows 2k+ IE IIS etc
自由软件
– openssl
– mod_ssl
– apache_ssl
– stunel
网络是我们熟悉的,同时也是让我们感到“陌生”的,如果您不是一位专业从事安全技术的工作者,那么您可能很难了解到网络中千疮百孔的漏洞。如何有效的抵御Web安全威胁是我们每一个用户关心的问题,在这里向大家推荐一款Web威胁防御工具,趋势科技上网无忧电子眼。这款工具集成了趋势科技最新推出的Web信誉服务,通过对网络中的Web站点进行可靠的安全等级评估,从而采取主动的防护措施,真正的实现了在危险到达前予以阻止的目的。上网无忧电子眼的体积很小,系统资源的占用相对也很少,工具运行时会显示在系统桌面的右下角,当我们访问具有安全隐患的网站时,工具会第一时间阻止威胁的侵袭,并提示用户Web页中可能存在的安全威胁。人性化的设计与实用的功能是我向大家推荐这款工具的原因,大家不妨试试看。
下载地址:<[url]http://cn.trendmicro.com/cn/sp/smb/wpao/[/url]>”
