Web安全分析 网络安全 NETWORK SECURITY SSL/TLS是基于Web应用的安全协议。为了说明 其原理和功能,首先分析一下Web的安全威胁。 1.Web服务器的安全威胁 Web服务器的安全威肋主要来自两个方面。 (1)Web服务的内容丰富,功能强大,出现安全 漏洞的概率大。 (2)Web服务器存放的有价值信息和隐私,会吸 引攻击者加大力度的攻击。这些信息的泄露或被更 改,将会造成很大损失。其中尤其是那些用于存储 用户名和口令的文件一旦被泄露,造成的损失将无 法估计。 7
7 7 SSL/TLS是基于Web应用的安全协议。为了说明 其原理和功能,首先分析一下Web的安全威胁。 1. Web服务器的安全威胁 Web服务器的安全威胁主要来自两个方面。 (1)Web服务的内容丰富,功能强大,出现安全 漏洞的概率大。 (2)Web服务器存放的有价值信息和隐私,会吸 引攻击者加大力度的攻击。这些信息的泄露或被更 改,将会造成很大损失。其中尤其是那些用于存储 用户名和口令的文件一旦被泄露,造成的损失将无 法估计。 Web安全分析
Web安全分析 网络安全 NETWORK SECURITY 对服务器的攻击手段很多。例如 CG漏洞攻击、 缓冲溢出出攻击等,都会使服务器遭受严重破环 尤其是术马程序可以将数据权限降级,将敏感信息 发送到未受保护的区域,扩大了访问范围,给攻击 创造了条件 2.Web浏览器的安全威肋 Web浏览器遭受的攻击主要来自在静态网页中嵌 入的使网贡动态化的小应甬程序。当用户使用浏览 器查看一个带有活动内容的网页时,.网页中嵌入的 小应用程序就会被自动下载,并在客户机上启动运 行。假如这些小应用程序是病毒或木马,就会产生 破坏作用。 8
8 8 对服务器的攻击手段很多。例如,CGI漏洞攻击、 缓冲溢出出攻击等,都会使服务器遭受严重破坏, 尤其是木马程序可以将数据权限降级,将敏感信息 发送到未受保护的区域,扩大了访问范围,给攻击 创造了条件。 2. Web浏览器的安全威胁 Web浏览器遭受的攻击主要来自在静态网页中嵌 入的使网页动态化的小应用程序。当用户使用浏览 器查看一个带有活动内容的网页时,网页中嵌入的 小应用程序就会被自动下载,并在客户机上启动运 行。假如这些小应用程序是病毒或木马,就会产生 破坏作用。 Web安全分析
Web安全分析 网络安全 NETWORK SECURITY 3.通信信道的安全威胁 Internet起源于ARPANET,其最初的重要目标是提 供可靠性,保证当一个或多个通信线路出现故障时仍 然可以正常通信。但是,它没有过多地考虑安全问题, 从而使它在保密性、完整性和即需性方面显得脆弱 在保密性方面,它的许多数据以明文形式传输和存储, 非常容易遭受嗅觉器的攻击;在完整性方面,它所传 输或存储的数据极易遭到破坏和修改;在即需性方面 它极容易遭受拒绝服务攻击而是网络速度降到不能忍 受的程度。 9
9 9 3. 通信信道的安全威胁 Internet起源于ARPANET,其最初的重要目标是提 供可靠性,保证当一个或多个通信线路出现故障时仍 然可以正常通信。但是,它没有过多地考虑安全问题, 从而使它在保密性、完整性和即需性方面显得脆弱。 在保密性方面,它的许多数据以明文形式传输和存储, 非常容易遭受嗅觉器的攻击;在完整性方面,它所传 输或存储的数据极易遭到破坏和修改;在即需性方面, 它极容易遭受拒绝服务攻击而是网络速度降到不能忍 受的程度。 Web安全分析
1 SSL/TLS协议 网络安全 NETWORK SECURITY ● 1994年Netscape开发了SSL(Secure Socket Layer)协议,专门用宇保护Web通讯 版本和历史 ■1.0,不成熟 ■2.0,基本上解决了Web通讯的安全问题 >Microsoft公司发布了PcT(Private Communication Technology),并在IE中支持 ■3.0,1996年发布,增加了一些算法,修改了一些缺陷 ■TLS1.O(Transport Layer Security,也被称为SSL 3.1),1997年IETF发布了Draft,同时,Microsoft宣 布放弃PCT,与Netscape一起支持TLS1.0 ■1999年,发布RFC2246(The TLS Protocol v1.0) 10
10 10 1 SSL/TLS协议 • 1994年Netscape开发了SSL(Secure Socket Layer)协议,专门用于保护Web通讯 • 版本和历史 n 1.0,不成熟 n 2.0,基本上解决了Web通讯的安全问题 ØMicrosoft公司发布了PCT(Private Communication Technology),并在IE中支持 n 3.0,1996年发布,增加了一些算法,修改了一些缺陷 n TLS 1.0(Transport Layer Security, 也被称为SSL 3.1),1997年IETF发布了Draft,同时,Microsoft宣 布放弃PCT,与Netscape一起支持TLS 1.0 n 1999年,发布RFC 2246(The TLS Protocol v1.0)
SSL/TLS协议 网络安全 NETWORK SECURITY☑ 协议的设计目标 ■为两个通讯个体之间提供保密性和完整性(身份认证) ■互操作性、可扩展性、相对效率 协议的使用 Welcome to the Microsoft Corporate Web Site-Microsoft Intern. =▣x Internet选项 ?x 文件(E编辑(E)查看 收藏(A)工具(T) 帮助(山 网 常规安全隐私内容连接程序高级 中后退 搜索收藏夹 幻媒体” 设置) 地址 ☒https::www..micr oft.com/ms.htm 习⊙转到链接》 口检查下载的程序的签名 All Products Suppork ☑启动配置文件助理 Microsoft 口户用年成Windows身份验证需要重启动) ☑使用SSL2.b ☑使用55L30 Home I Training/Events I Subscribe I About Microsoft ☑使用TLs1,0 Search ☑在安全和非安全模式之间转换时发出警告 steps to persc ☑玉定问提交的表单时发出警告 comput 从地址栏中搜索 Advanced Search Q搜索时 Product Families security 。不从地址栏中搜索 Keep your PC 。显示结果,然后转到最相近的站点 Windows secure and pn ○只在主窗口中显示结果 Office your privacy w ⊙转到最相近的站点 these helpful Servers checklists. 打知 Developer Tools Microsoft Top 10 还原默认设置⑧) Great Plains .net reasons t Applications upgrade t All Products yisual Basic .NEY 确定 取消 应用A) http://msdn.microsoft.com/vbasic/techinfo/ 11
11 11 SSL/TLS协议 • 协议的设计目标 n 为两个通讯个体之间提供保密性和完整性(身份认证) n 互操作性、可扩展性、相对效率 • 协议的使用