13数据安全2005--Web安全与电子商务安全

计算机网络与信息安全技术研究中心1数据安全--Web安全与电子商务安全主讲人：翟健宏Email:zhaijh@hit.edu.cn办公室:新技术楼509Tel:0451-86402573计算机网络与信息安全技术研究中心21Web安全性问题2Web安全防护技术3SSL-SecureSocketLayer4电子商务的安全SET计算机网络与信息安全技术研究中心31Web安全性问题•Web是一个运行于internet和基于TCP/IP的intranet之上的基本的client/server应用。•Web安全性涉及前面讨论的所有计算机与网络的安全性内容。•同时还具有新的挑战。计算机网络与信息安全技术研究中心4•Web具有双向性（传统出版系统为单向，包括电子出版系统图文电视、语音应答、传真应答系统），Webserver易于遭受来自Internet的攻击。实现Web浏览、配置管理、内容发布等功能的软件异常复杂，其中隐藏许多潜在的安全隐患，短短的Web发展历史已经说明了这一点。•Web通常是一个公司或机构的发布板，常常和其它计算机联系在一起。一旦Webserver被攻破，可能殃及其它。用户往往是偶然的和未经训练的，对安全风险没有意识，更没有足够的防范工具和知识。计算机网络与信息安全技术研究中心51.1Web的结构（b/s模式）浏览用户数据库应用网页生成器计算机网络与信息安全技术研究中心61.2Web开发环境•CGI•ASP•Java公共网关接口（CommonGatewayInterface）是一种用脚本语言（例如Perl）编写的小程序，用于实现HTML页面和Webserver上其他程序之间的通信。例如，一种CGI脚本，它能把在Web页面中输入的搜索关键字发送给数据库。还能将搜索结果格式化到一个HTML页面上，返回给用户。ActiveServerPages，服务器端脚本编写环境，使用它可以创建和运行动态、交互的Web服务器应用程序。使用ASP可以组合HTML页、脚本命令和ActiveX组件以创建交互的Web页和基于Web的功能强大的应用程序。它是个面向网络的程序设计语言，用来让程序员创建应用程序，这些应用程序可以通过网络下载，而且可在任何计算平台上安全地运行。如果再加上万维网和公司内部网体系，你将会拥有一个标准的网络计算环境，Java作为一个分布式的，面向对象的程序设计语言，可以让位于任何地方的任何计算机应用网络上的应用程序。计算机网络与信息安全技术研究中心71.3CGI安全威胁1.非正常的表单数据–上传表单数据可能不是预期的，如：选项错误、大于最大长度和字段不符。计算机网络与信息安全技术研究中心82.路径数据错误利用PATH_INFO变量。例如，在以下源代码中提交不同路径将导致不同结果。Echo“HTMLHEADERTITLEFile/TITLEHEADERBODY”echo“HereistherequestedfilePRE\n”cat$PATH_INFOecho“/PRE/BODYHTML”提交的PATH_INFO及结果。URL：http：/；打印faq.txt。URL：http：/；打印passwd文件。计算机网络与信息安全技术研究中心93.零字节问题–Parse$user_input–$database=“$user_input.db”;–Open(FILE”$database”);–提交/etc/passwd\0（‘/etc/passwd‘）时就可能打开passwd，而不是/etc/passwd.db计算机网络与信息安全技术研究中心104.处理文件名–分号命令分隔–/目录分割–./当前目录–../上级目录–处理HTML–处理外部进程–处理内部函数计算机网络与信息安全技术研究中心111.4ASP的安全威胁1.泄露源代码–http：//：：$DATA–http：//–http：//–http：//@41sp–http：//计算机网络与信息安全技术研究中心122.FileSystemObiect•文件操作可通过VB的FileSystemObiect来执行；•例查看文件的ASP源码•(调用格式http：//xxxx/cat.asp?file=文件名)；%Response.ContextType=“text/plain”file=Request.QueryString(“file”)setfsFilesys=CreateObiect(“Scripting.FileSystemObject”)settsCoffee=fsFilesys.OpenTextFile(file)Response.WritetsCoffee.ReadalltsCoffee.ClosesetfsFilesys=NothingsetfsFilesys=Nothing%计算机网络与信息安全技术研究中心133.数据库密码验证–sql=“select*fromuserwhereusername=“”&username&””andpass=“”&pass&”””–sql=“select*fromuserwhereusername=““hacker””or“1”=“1”or“a”=a&”andpass=““&pass&”””•user=“aa“oruser“aa“•password=“aa“orpassword“aa“–相应的在浏览器端的用户名框内写入：aa“oruser“aa–口令框内写入：aa“orpassword“aa–注意这两个字符串两头是没有“的。计算机网络与信息安全技术研究中心141.5Cookies的安全性1.Cookie–Cookie是由Netscape开发并将其作为持续保存状态信息和其它信息的一种方式，目前绝大多数的浏览器支持Cookie协议。–如果能够链入Web网或其它网络的话，就可以使用Cookie来传递某些具有特定功能的小信息块。–Cookie是一个储存于浏览器目录中的文本文件，约由255个字符组成，仅占4KB硬盘空间。–许多Web站点使用Cookies来储存针对私人的数据，如：注册口令、用户名、信用卡编号等计算机网络与信息安全技术研究中心152.Cookie的安全性–Cookies是以标准文本文件形式储存的，因此不会传递任何病毒，所以从普通用户意义上讲，Cookie本身是安全可靠的。计算机网络与信息安全技术研究中心163.Cookie的Web站点管理–由于一个Cookie是Web服务器放置在你的机器上的、并可以重新获取你的档案的唯一的标识符，因此Web站点管理员可以利用Cookies建立关于用户及其浏览特征的详细档案资料–当用户登录到一个Web站点后，在任一设置了Cookies的网页上的点击操作信息都会被加到该档案中。–档案中的这些信息暂时主要用于站点的设计维护，但除站点管理员外并不否认被别人窃取的可能，假如这些Cookies持有者们把一个用户身份链接到他们的CookieID，利用这些档案资料就可以确认用户的名字及地址。计算机网络与信息安全技术研究中心174.HTTPCookies的注册鉴定方式–当用户在站点注册或请求信息时，经常输入确认他们身份的登记口令、E-mail地址或邮政地址到Web页面的窗体中，窗体从Web页面收集用户信息并提交给站点服务器，服务器利用Cookies持久地保存信息，并将其放置在用户机上，等待以后的访问。–这些Cookies内嵌于HTML信息中，并在用户机与站点服务器间来回传递，如果用户的注册信息未曾加密，将是危险的。因此许多人认为Cookie的存在对个人隐私是一种潜在的威胁。计算机网络与信息安全技术研究中心181.6ActiveX的安全性•ActiveX安全性的特点：–在因特网上，一般软件需要用户单独下载然后执行安装，而ActiveX插件是当用户浏览到特定的网页时，IE浏览器即可自动下载并提示用户安装。–ActiveX插件安装的一个前提是必须经过用户的同意及确认。•作用：本地编译可执行2进制代码，用于分发软件。•危害：即使经过签名仍然有可能破坏。计算机网络与信息安全技术研究中心191.7Web安全性威胁与对策威胁后果对策完整性修改用户的数据特洛伊木马浏览器修改内存修改传输的数据流信息丢失机器暴露其它所有威胁的弱点加密校验和保密性网上偷听从服务器处偷信息从客户端处偷信息关于网络配置的信息关于客户连接的信息丢失信息丢失隐私加密、Web代理业务否决-中断用户连接-用伪造的威胁淹没服务器塞满硬盘或内存攻击DNS隔离服务器中断骚扰阻止用户完成正常工作难以防范认证鉴别冒充合法用户数据伪造以假乱真误信错误信息加密技术计算机网络与信息安全技术研究中心201Web安全性问题2Web安全防护技术3SSL-SecureSocketLayer4电子商务的安全SET计算机网络与信息安全技术研究中心212Web安全防护技术2.1主要防护技术–基于主机的入侵检测–文件I/O监测–上载请求的合法性验证–信息流认证和加密计算机网络与信息安全技术研究中心222.2基于Web信息流的安全方法•网络层NetworkLevel——IP安全性(IPSec)计算机网络与信息安全技术研究中心23•传输层TransportLevel——SSL/TLS计算机网络与信息安全技术研究中心24•应用层ApplicationLevel——S/MIME,PGP,SET,Kerberos计算机网络与信息安全技术研究中心251Web安全性问题2Web安全防护技术3SSL-SecureSocketLayer4电子商务的安全SET计算机网络与信息安全技术研究中心263SSL-SecureSocketLayer•在互联网上访问某些网站时，也许你会注意到在浏览器窗口的下方会显示一个锁的小图标，这个小锁表示什么意思呢？•它表示该网页被SSL保护着，SSL全称为“SecureSocketsLayer”（安全套接层），是一种用于网站安全连接的协议或技术。计算机网络与信息安全技术研究中心27所谓的安全连接有两个作用，•首先是SSL可以提供信息交互，双方认证对方的身份标识。显而易见，这对当你开始与对方交换机密信息前确切了解对方身份是非常重要的。SSL通过数字证书的技术实现使得这一需求得以满足。•另一个是它能够使数据以不可读的格式传输，以利于在不可信网络（例如互联网）上的安全传输需要。这种不可读格式通常由加密技术实现。计算机网络与信息安全技术研究中心28•加密前•加密后计算机网络与信息安全技术研究中心29•源于Netscape开发，V3首先作为RFC发布，后IETF（InternetEngineeringTaskForce）建立一个TLS（TransactionLayerSecurity）工作小组作为InternetStandard，TLS的第一个版本可以看作是SSLv3.1。计算机网络与信息安全技术研究中心303.1数字证书•要讨论SSL必须首先了解数字证书（DigitalCertificates）的概念。•数字证书是一种能在完全开放系统中，例如，互联网（之所以说互联网是一个开放系统是因为我们无法控制其中的用户是谁）,准确标识某些主体（如一个人或一个网站）的机制。一个数字证书包含的信息必须能鉴定用户身份，确保用户就是其所持有证书中声明的用户。•数字证书由CA（CertificateAuthorities）机构承认，CA是被银行政府和其它公共机构认可用于标识证书所有者的第三方机构，除了唯一的标识信息外数字证书还包