5.1 明文密码传输漏洞 30
5.2 Cookie与用户登录 31
5.3 明文密码传输检测 32
5.4 密码安全传输办法 35
5.5 本章小结 36
结 论 37
致 谢 38
参 考 文 献 39
1 绪论
随着互联网进入web 2.0时代,基于web的各种应用与服务不断增加,在各行各业(如金融、军事、医疗等等)中得到了广泛的应用和发展。但是,web 2.0是一把双刃剑,在极大地丰富了互联网应用的同时,也使得网络应用环境更加复杂,并给网络安全带来了许多新的挑战。
1.1 概述
随着互联网进入web 2.0时代,基于web的各种应用与服务不断增加,在各行各业(如金融、军事、医疗等等)中得到了广泛的应用和发展。但是,web 2.0是一把双刃剑,在极大地丰富了互联网应用的同时,也使得网络应用环境更加复杂,并给网络安全带来了许多新的挑战。
1.2 WEB安全现状及趋势
Web 应用程序是由动态脚本、编译过的代码等组合而成。它通常架设在 Web 服务器上,用户在 Web 浏览器上发送请求,这些请求使用 HTTP 协议,经过因特网和企业的 Web 应用交互,由 Web 应用和企业后台的数据库及其他动态内容通信。
当今世界,Internet已经成为一个非常重要的基础平台,很多企业都将应用架设在该平台上,为客户提供更为方便、快捷的服务支持。这些应用在功能和性能上,都在不断地完善和提高,然而在非常重要的安全性上,却没有得到足够的重视。由于网络技术日趋成熟,黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对 Web 应用的攻击上。根据 Gartner[2] 的最新调查,信息安全攻击有 75% 都是发生在 Web 应用而非网络层面上。同时,数据也显示,三分之二的 Web 站点都相当脆弱,易受攻击。然而现实却是,绝大多数企业将大量的投资花费在网络和服务器的安全上,没有从真正意义上保证 Web 应用本身的安全,给黑客以可乘之机。
尽管不同的企业会有不同的 Web 环境搭建方式,一个典型的 Web 应用通常是标准的三层架构模型,如图1.1 所示。
在这种最常见的模型中,客户端是第一层;使用动态 Web 内容技术的部分属于中间层;数据库是第三层。用户通过 Web 浏览器发送请求(request)给中间层,由中间层将用户的请求转换为对后台数据的查询或是更新,并将最终的结果在浏览器上展示给用户。
让我们一起来看一下 Web 应用安全的全景图,见图1.2[2]。
图1.1 Web 应用三层架构模型
图1.2 信息安全全景
在企业 Web 应用的各个层面,都会使用不同的技术来确保安全性。为了保护客户端机器的安全,用户会安装防病毒软件;为了保证用户数据传输到企业 Web 服务器的传输安全,通信层通常会使用 SSL(安全套接层)技术加密数据;企业会使用防火墙和 IDS(入侵检测系统)/IPS(入侵防御系统)来保证仅允许特定的访问,不必要暴露的端口和非法的访问,在这里都会被阻止;即使有防火墙,企业依然会使用身份认证机制授权用户访问 Web 应用。
但是,即便有防病毒保护、防火墙和 IDS/IPS,企业仍然不得不允许一部分的通信经过防火墙,毕竟 Web 应用的目的是为用户提供服务,保护措施可以关闭不必要暴露的端口,但是 Web 应用必须的 80 和 443 端口,是一定要开放的。可以顺利通过的这部分通讯,可能是善意的,也可能是恶意的,很难辨别。这里需要注意的是,Web 应用是由软件构成的,那么,它一定会包含缺陷(bugs),这些 bug 就可以被恶意的用户利用,他们通过执行各种恶意的操作,或者偷窃、或者操控、或者破坏Web 应用中的重要信息。 WEB安全漏洞检测工具的分析与改进(2):http://www.youerw.com/jisuanji/lunwen_8099.html