Web 安全防护讨论论文 摘要文章对 Web 的安全威胁进行分析,提出了 Web 安全防护措施,并基于 Windows 平台简述了一个 Web 安全防护策略的具体应用。 关键词 Web;网络安全;安全威胁;安全防护 1 引言 随着 Internet 的普及,人们对其依赖也越来越强,但是由于Internet 的开放性,及在设计时对于信息的保密和系统的安全考虑不完备,造成现在网络的攻击与破坏事件层出不穷,给人们的日常生活和经济活动造成了很大麻烦。WWW 服务作为现今 Internet 上使用的最广泛的服务, Web 站点被黑客入侵的事件屡有发生 ,Web 安全问题已引起人们的极大重视。 2Web 的安全威胁 来自网络上的安全威胁与攻击多种多样,依照 Web 访问的结构,可将其分类为对 Web 服务器的安全威胁、对 Web 客户机的安全威胁和对通信信道的安全威胁三类。 2.1 对 Web 服务器的安全威胁 对于 Web 服务器、服务器的操作系统、数据库服务器都有可能存在漏洞,恶意用户都有可能利用这些漏洞去获得重要信息 。Web 服务器上的漏洞可以从以下几方面考虑: 2.1.1 在 Web 服务器上的机密文件或重要数据(如存放用户名、口令的文件)放置在不安全区域,被入侵后很容易得到。 2.1.2 在 Web 数据库中,保存的有价值信息(如商业机密数据、用户信息等),假如数据库安全配置不当,很容易泄密。 2.1.3Web 服务器本身存在一些漏洞,能被黑客利用侵入到系统,破坏一些重要的数据,甚至造成系统瘫痪。 2.1.4 程序员的有意或无意在系统中遗漏 Bugs 给非法黑客制造条件。用 CGI 脚本编写的程序中的自身漏洞。 2.2 对 Web 客户机的安全威胁 现在网页中的活动内容已被广泛应用,活动内容的不安全性是造成客户端的主要威胁。网页的活动内容是指在静态网页中嵌入的对用户透明的程序,它可以完成一些动作,显示动态图像、下载和播放音乐、视频等。当用户使用浏览器查看带有活动内容的网页时,这些应用程序会自动下载并在客户机上运行,假如这些程序被恶意使用,可以窃取、改变或删除客户机上的信息。主要用到JavaApplet 和 ActiveX 技术。 JavaApplet 使用 Java 语言开发,随页面下载,Java 使用沙盒(Sandbox)根据安全模式所定义的规则来限制 JavaApplet 的活动,它不会访问系统中规定安全范围之外的程序代码。但事实上JavaApplet 存在安全漏洞,可能被利用进行破坏。 ActiveX 是微软的一个控件技术,它封装由网页设计者放在...
