文档介绍:Web安全
威胁
后果
对策
完整性
修改用户数据
浏览器种入特洛伊木马
内存修改
修改传送中的消息
信息丢失
机器损害
易受所有其他威胁的攻击
加密校验和
保密性
网上窃听
窃取服务器数据
窃取客户端数据
窃取网络配置信息
窃取客户与服务器通话信息
信息失窃
秘密失窃
加密、WEB代理
拒绝服务
破坏用户线程
用假消息使机器溢出
填满硬盘或内存
使用DNS攻击来孤立机器
中断
干扰
阻止正常工作
难以防止
认证
伪装成合法用户
伪造数据
用户错误
相信虚假信息
加密技术
Web安全威胁及对策
Web安全的特点
提供双向的服务,攻击防范能力脆弱
作为可视化窗口和商业交互平台,提供多种服务,事关声誉
底层软件庞大,如apache约10M,历来是漏洞之最,攻击手段最多
如果被攻破可能导致成为进入企业的跳板
使用Web服务的用户没有有效防范的工具和知识
Web安全的组成部分
Browser 安全
Web Server安全
Browser 与Web Server之间网络通信安全
Web安全方案
网络层:IPSec
传输层:SSL/TLS
应用层:SET/SHTTP
SSL与TLS的关系
TLS源于SSL,在被IETF(互联网工程任务组)最终采纳为标准之前,都称为SSL,是Netscap公司的技术。IETF采纳该标准后,称为TLS。
SSLv1->SSLv2->SSLv3->TLSv1
TLSv1与SSLv3基本相同(个别细节改动)
SSLv1基本没有得到应用,SSLv2之后的版本则获得了广泛的应用
目前:是应用最广泛的安全协议。
(1)主要是为了Web安全设计,所以要与HTTP一起很好地工作。
(2)保密性:在不泄露信息给攻击者的情况下,将信息从客户端传给服务器
(3)服务器认证
(4)客户端认证(可选)
(5)简化客户端操作
(6)透明性:除Web外,还为其它应用提供安全性,这些应用基于TCP,所以基于TCP实现,相当于一个安全的TCP。
SSL/TLS的设计目标
SSL和TLS的基本策略:在两个通信的应用程序之间提供一条传递任意应用数据的安全通道。
SSL和TLS基于TCP。
应用:使用SSL的连接和使用TCP的连接一样。
在协议栈中的位置:
应用层
SSL
TCP
IP
SSL/TLS与TCP/IP
SSL 功能
SSL 提供四个基本功能
Authentication
Encryption
Integrity
Key Exchange
采用两种加密技术
非对称加密
认证
交换加密密钥
对称加密:加密传输数据
SSL 功能