文档介绍:Web安全威胁后果对策完整性修改用户数据浏览器种入特洛伊木马内存修改修改传送中的消息信息丢失机器损害易受所有其他威胁的攻击加密校验和保密性网上窃听窃取服务器数据窃取客户端数据窃取网络配置信息窃取客户与服务器通话信息信息失窃秘密失窃加密、WEB代理拒绝服务破坏用户线程用假消息使机器溢出填满硬盘或内存使用DNS攻击来孤立机器中断干扰阻止正常工作难以防止认证伪装成合法用户伪造数据用户错误相信虚假信息加密技术Web安全威胁及对策Web安全的特点?提供双向的服务,攻击防范能力脆弱?作为可视化窗口和商业交互平台,提供多种服务,事关声誉?底层软件庞大,如apache约10M,历来是漏洞之最,攻击手段最多?如果被攻破可能导致成为进入企业的跳板?使用Web服务的用户没有有效防范的工具和知识Web安全的组成部分?Browser安全?WebServer安全?Browser与WebServer之间网络通信安全Web安全方案?网络层:IPSec?传输层:SSL/TLS?应用层:SET/SHTTPSSL与TLS的关系TLS源于SSL,在被IETF(互联网工程任务组)最终采纳为标准之前,都称为SSL,是Netscap公司的技术。IETF采纳该标准后,称为TLS。SSLv1->SSLv2->SSLv3->TLSv1TLSv1与SSLv3基本相同(个别细节改动)SSLv1基本没有得到应用,SSLv2之后的版本则获得了广泛的应用目前:是应用最广泛的安全协议。(1)主要是为了Web安全设计,所以要与HTTP一起很好地工作。(2)保密性:在不泄露信息给攻击者的情况下,将信息从客户端传给服务器(3)服务器认证(4)客户端认证(可选)(5)简化客户端操作(6)透明性:除Web外,还为其它应用提供安全性,这些应用基于TCP,所以基于TCP实现,相当于一个安全的TCP。SSL/TLS的设计目标SSL和TLS的基本策略:在两个通信的应用程序之间提供一条传递任意应用数据的安全通道。SSL和TLS基于TCP。应用:使用SSL的连接和使用TCP的连接一样。在协议栈中的位置:应用层SSLTCPIPSSL/TLS与TCP/IPSSL功能?SSL提供四个基本功能?Authentication?Encryption?Integrity?KeyExchange?采用两种加密技术?非对称加密?认证?交换加密密钥?对称加密:加密传输数据SSL功能