下载后可任意编辑网站安全的威胁与防护探究 摘要:对目前日益严峻的网站安全问题进行分析,提出了网站安全防护措施,通过基于 unix 和 windows 等常用平台,介绍 weB 网站的防护经验。 关键词:网站;安全;防护 1 网站技术简介安全威胁的来源 1.1www 技术简介 worldwideweb 称为万维网,简称 web。分成服务器端、客户接收机及通讯协议三个部分。 1.1.1 服务器(web 服务器) 服务器结构中规定了服务器的传输设定、信息传输格式及服务器本身的基本开放结构。web 服务器的作用就是管理这些文档,按用户的要求返回信息。 1.1.2 客户接收机(web 浏览器) 客户机系统称为 web 浏览器,用于向服务器发送资源索取请求,并将接收到的信息进行解码和显示。web 浏览器是客户端软件,它从 web 服务器上下载和猎取文件,翻译下载文件中的 Html 代码,进行格式化,根据 Html 中的内容在屏幕上显示信息。 1.1.3 通讯协议(Http 协议) web 浏 览 器 与 服 务 器 之 间 遵 循 Http 协 议 进 行 通 讯 传 输 。Http(Hypertexttransferprotocol,超文本传输协议)是分布式的 web 应用的核心技术协议,在 tcp/ip 协议栈中属于应用层。它定义了 web 浏览器向 web 服务器发送索取 web 页面请求的格式,以及 web 页面在 internet 上的传输方式。 1.2 服务器安全威胁 对于 web 服务器、服务器的操作系统、数据库服务器都有可能存在漏洞,恶意用户都有可能利用这些漏洞去获得重要信息。web 服务器上的漏洞可以从以下几方面考虑: web 服务器操作系统本身存在一些漏洞,能被黑客利用侵入到系统,破坏一些重要文件,甚至造成系统瘫痪。 1下载后可任意编辑 web 数据库中安全配置不完整,存在弱口令或被数据库注入等安全漏洞,导致数据丢失或服务中断。 web 服务器上的数据存储结构不合理,没有划分安全区域或重要数据没有存放在安全区域,导致被侵入。 web 服务器上运行的程序存在安全漏洞,或应用程序所需要的权限过高没有优化,容易被黑客侵入。 1.3 客户端安全威胁 现在网页中的活动内容已被广泛应用,活动内容的不安全性是造成客户端的主要威胁。主要用到 JavaApplet、Activex、cookie 等技术都存在不同的安全隐患。 1.4 数据传输中的安全威胁 internet 是连接 web 客户机和服务器通信的信道,是不安全的。未经授权的用户可以改变信道中的信息流传输内容,造成对信息完整性...
