来源:安全中国
第8章 Web安全
知识点
Web的安全需求
SSL和TLS协议
Web服务器安全——安全策略、安全结构和安全服务
Web浏览器安全——安全策略和安全通信
重点和难点
SSL和TLS协议的结构和功能特点
Web应用系统的安全隐患、安全策略和安全使用
要求
掌握
SSL的基本原理和所提供的安全保护功能
保护Web应用系统安全的基本方法
了解
Web应用系统所面临的主要威胁和安全需求
实践技能
结合具体的Web应用系统,通过配置或设计安全插件增强Web应用系统的安全性
Web是由Web服务器、Web浏览器及通信协议三个部分组成的开放式应用系统。Web服务器也称为HTTPd服务器(d是指UNIX系统中的daemon)。最早的Web服务器软件是在UNIX系统上发展起来的,有CERN(Europeanlaboratoryforparticlephysics,欧洲粒子物理实验室)和NCSA(NationalCenterforSupercomputingApplications,国家超级计算应用中心)两种类型。现在占据市场份额最大的是Apache服务器软件,这种软件可在多种环境下运行,如UNIX、Linux、olaris、Windows2000等。而在Windows环境下,占据首要地位的服务器软件是微软的IIS(InternetInformationServer)。
Web浏览器软件中,Netscape的Web浏览器NN(NetscapeNavigator)、NC(NetscapeCommunicator)具有最广泛的系统平台支持,可以在所有平台上运行;而微软的IE浏览器主要用于Windows平台。
Web服务器和Web浏览器之间通过HTTP协议相互响应。一般情况下,Web服务器在80端口等候Web浏览器的请求,Web浏览器通过三次握手与服务器建立起TCP/IP连接。
目前,几乎所有的企业、政府机构以及个人,都拥有自己的Web站点。然而,这些Web站点所能提供的安全服务却十分有限,大多数Web系统的安全性能非常脆弱。因此,各个机构对于Web安全的要求也在逐渐增加。Web的精华是交互性,这也正是它的致命弱点。Web的各种很受用户欢迎的功能,如聊天室、电子商务和自动的E-mail回复等,也是入侵者的突破口。有些入侵者有意或无意地在机器上留下痕迹,例如,删除或改写邮件,把主页上代表公司的标志改成一个奇怪的形象,甚至入侵系统等。