Web的安全性及安全防护措施

第23 卷第3 期2008 年6 月

柳州师专学报

Journal of Liuzhou Teachers C ollege

Vol. 23 No. 3

J un. 2008 Web 的安全性及安全防护措施

覃国锐

(柳州师范高等专科学校数计系,广西柳州545004)

摘要:随着Internet 应用的普及, Internet 已经渗入了人们生活中的各个领域,而WWW 服务作为Internet 上使

用最广泛的服务,越来越多的用户通过WWW 获取信息,进行交流和交易。然而由于其自身的不完备, W eb 面临着各种各样的安全威胁,文章对Web 存在的安全威胁进行分析,并提出了安全防护措施。

关键词: Internet ; Web ;安全威胁;安全防护

中图分类号: TP30911 文献标识码: A 文章编号: 1003 - 7020 (2008) 03 - 0129 - 03

在信息化的社会中,人们对计算机网络的依赖日益增强,越来越多的信息和重要数据资源出现在网络中。通过网络获取和交换信息的方式已成为当前主要的信息沟通方式之一。特别是近年来Internet 规模的爆炸式增长及其应用的普及,人们对Internet 的依赖也越来越强,但是由于Internet 的开放性及在设计时对于信息的保密和系统的安全考虑不完备,造成现在网络的攻击与破坏事件层出不穷,给人们的日常生活和经济活动造成了很大的麻烦。WWW 服务作为现今Internet 上使用的最广泛的服务,越来越多的用户通过WWW 获取信息,进行交流和交易,然而很少有用户意识到正当他们快乐地使用WWW 时,却有少数居心不良者正在窥视着他们的一举一动,利用人们知识的缺乏和疏忽进行一些捣乱和破坏。Web 面临着各种各样的安全威胁, W eb 站点被黑客攻击、入侵的事件屡有发生,Web 安全问题已引起人们的极大重视。

1 Web 的安全性分析

111 Web 服务器的安全漏洞

Web 服务器本身存在一些漏洞,能被黑客利用侵入到系统去获得重要信息,破坏一些重要的数据,甚至造成系统瘫痪。Web 服务器上的漏洞可以从以下几方面考虑:

a. NCSA 服务器的安全漏洞

114 版本以前的NCSA Web 服务器包含一个与固定大小的字符串缓冲有关的安全漏洞(即缓冲区溢出) 。远程用户可以通过请求一个非常长的URL 来入侵运行这个服务器的系统。

b.Apache 服务器的安全问题

Apache 服务器含有两个安全漏洞。第一个漏洞影响用mod2cookies 模块编译的服务器。用这个模块编译的服务器包含一个严重的漏洞,用户在传送非常长的cookies 给服务器时,使得系统堆栈溢出,潜在允许执行任意的命令。

另一个漏洞关系到自动目录列表。通常,如果目录里包含一个欢迎页,如index. html ,那么远程用户就不能获得目录的列表。

c.CGI 的安全问题

通用网关接口( CGI) 提供了扩展Web 页面功能的最灵活的方法,但用CGI 脚本编写的程序中自身存在漏洞。

112 Web 客户机的安全威胁

11211 Web 欺骗

Web 站点的广泛利用,诱惑着网上的欺诈行为。这种欺诈行为是由于信息铺天盖地而又无法让人们辨认真假而造成的,如电视里诱人的广告,仅凭看到的一些信息无法分辨哪些是真,哪些是假。而Web

[ 收稿日期]2007 - 12 - 21

[ 作者简介]覃国锐(1979 —) ,男,广西来宾人,助教,研究方向:数据库应用。

上的这种欺诈就更加容易了 。

所谓 Web 欺骗是指攻击者建立一个使人相信的

Web 页站点的拷贝 ,这个假站点拷贝看起来就像真的

一样 ,它具有所有的页面和连接 。然而攻击者控制了 这个假的 Web 页 ,被攻击对象和真的 Web 站点之间 的所有网络信息流动都被攻击者控制了[ 1 ]167 。

Web 攻击技术使得攻击者可以创建 Web 站点的

“影子拷贝”。用户访问影子 Web 会经过攻击者的机 器 ,这样攻击者就可以监视被攻击对象的所有活动 , 包括他的账户和口令以及其他的信息 。下图就是

Web 欺骗攻击的示意图 :

通过上图我们发现实施 Web 攻击的关键在于攻 击者的 Web 服务器能够插在浏览者和其他的 Web 之 间 。

Web 攻击的过程是 : 一是改写 URL 。这是攻击

者的首要任务 ,改写某个页面上的 URL 地址 ,使得这 些链接都指向攻击者的 Web 服务器而不是真正的服 务器 。二是开始实施攻击 。为了开始攻击 ,攻击者必 须以某种方式诱惑被攻击对象连到攻击者所创造的 假 Web 站点上 。三是制造假象 。攻击者会通过各种 途径制造各种假象 ,为的是能够实施成功攻击 。攻击 者可以通过简单的 JavaScript 程序来消除所有可能留 下的攻击线索 。

11212 Web 页的安全威胁 现在网页中的活动内容

已被广泛应用 ,活动内容

的不安全性是造成客户端的主要威胁 。网页的活动 内容是指在静态网页中嵌入的对用户透明的程序 ,它 可以完成一些动作 ,显示动态图像 、下载和播放音乐 、 视频等 。当用户使用浏览器查看带有活动内容的网 页时 ,这些应用程序会自动下载并在客户机上运行 , 如果这些程序被恶意使用 ,可以窃取 、改变或删除客 户机上的信息 。网页中的活动内容主要用到的是 Ja 2

130

va Applet 、J

a vaScript 和 ActiveX 技术 。 Java Applet 使用 Java 语言开发 ,随页面下载 ,J a 2 va 使用沙盒 ( SandBox ) 根据安全模式所定义的规则

来限制 Java Applet 的活动 ,它不会访问系统中规定 安全范围之外的程序代码 。但事实上 Java Applet 存 在安全漏洞 ,可能被利用进行破坏[ 2 ] 。

在此用户首先要明白虽然 JavaScript 与 Java 名 字上很相似 ,但 JavaScript 与 Java 之间毫无瓜葛 。J a 2

va 是 SUN 公司推出的新一代面向对象的程序设计

语言 ; 而 JavaScript 是 Netscape 公司设计的一系列

HTML 语言扩展 ,它增强了 HTML 语言的动态交互

能力 ,并且可以把部分处理移到客户机 ,减轻服务器 的负载 。J avaScript 因为存在安全漏洞出现过很多麻 烦 ,尽管 Netscape 的开发人员试图去掉它们 ,但安全 漏洞还继续存在 。J a vaScript 的漏洞不像 Java 的漏洞 那样能损坏用户的机器 ,而只是侵犯用户的隐私 。

ActiveX 是微软的一个控件技术 ,它封装由网页

设计者放在网页中用来执行特定的任务的程序 ,可以 由微软支持的多种语言开发但只能运行在 W indows 平台 。ActiveX 在安全性上不如 Java Applet ,一旦下

载 ,能像其他程序一样执行 、访问包括操作系统代码 在内的所有系统资源 ,这是非常危险的 。

Cookie 是 Netscape 公司开发的一种机制 ,用来改

善 HTTP 协议的无状态性 。这种无状态的表现使得

Web 服务器要在一定时间内记住用户执行的操作很

困难 。Cookie 解决了这个问题 。Cookie 实际上是一 段很小的信息 ,它是在浏览器第一次连接时由 HTTP 服务器送到浏览器端 ,以后浏览器每次连接都把这个

Cookie 的一个拷贝返回给 Web 服务器 ,服务器用这

个 Cookie 来记忆用户和维护一个跨多个页面的过程 影像 。Cookie 不能用来窃取关于用户或用户计算机 系统的信息 ,它们只能在某种程度上存储用户的信 息 ,但也正是由于这一点 ,Cookie 存在安全隐患[ 1 ]166 。

2 Web 的安全防护方法

211 Web 客户端的安全防护方法

虽然 Web 欺骗危险且几乎不可察觉 ,然而用户 还是可以采取一些方法来保护 Web 客户端的安全 , 如 :跟踪攻击者 。用户可以使用网络监听或用 Net 2

stat 之类的工具找到攻击者所用的服务器 。短期的

解决方法有 :