asp程序设计及应用(第二版)及源代码-张景峰 第11章 web安全新1

asp程序设计及应用(第二版)及源代码-张景峰 第11章 web安全新1

ID:17413852

大小:465.00 KB

页数:24页

时间:2018-08-31

asp程序设计及应用(第二版)及源代码-张景峰 第11章 web安全新1_第1页
asp程序设计及应用(第二版)及源代码-张景峰 第11章 web安全新1_第2页
asp程序设计及应用(第二版)及源代码-张景峰 第11章 web安全新1_第3页
asp程序设计及应用(第二版)及源代码-张景峰 第11章 web安全新1_第4页
asp程序设计及应用(第二版)及源代码-张景峰 第11章 web安全新1_第5页
资源描述:

《asp程序设计及应用(第二版)及源代码-张景峰 第11章 web安全新1》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第11章Web安全11.1Web服务器安全11.2网页木马11.3SQL注入攻击与防范11.4跨站脚本攻击11.1Web服务器安全在Web服务器安全漏洞可以从两个方面考虑,首先,Web服务器是一个通用的服务器,无论是Windows,还是Linux/Unix,都不能避免自身的漏洞,通过这些漏洞入侵,可以获得服务器的高级权限,这样对服务器上运行的Web服务就可以随意控制。其次,除了操作系统的漏洞外,还有Web服务软件的漏洞,如:IIS等。11.1Web服务器安全需要从以下方面做好安全防范措施:1.及时更新操作系统补丁程序。及时安装系统最新的一些安

2、全补丁程序,特别是要安装一些高危漏洞的补丁程序,很多网页就是利用这些漏洞来执行木马程序。2.安装并及时更新服务软件,并且进行合理的配置和关掉暂时不用的服务。3.安装杀毒软件,并及时更新病毒库。及时更新杀毒软件的病毒库可以有效的查杀病毒和木马程序。4.设置端口保护和防火墙。服务器的端口屏蔽可以通过防火墙来设置,把服务器上要用到的服务器端口选中,例如:对于Web服务器来说,需要提供Web服务(80端口)、FTP服务(21)端口等,则只需开放对应端口即可。5.对不必要的服务和不安全的组件同样也需要禁止或删除。11.1Web服务器安全11.1.2操作

3、系统的安全配置1.文件系统的选择应该选择NTFS(NewTechnologyFileSystem)文件系统2.关闭默认共享在安装windows操作系统的时候,会把系统安装分区进行共享,虽然只有具有超级用户权限才能访问,但这是一个潜在的安全隐患。11.1Web服务器安全11.1.2Web服务器软件IIS的安全配置1.IIS安装问题可以通过将IIS安装到其他分区的方式,避免入侵者访问系统分区。2.删除危险的IIS组件IIS的有些组件可能会造成安全威胁。如Internet服务管理器、SMTPService和NNTPService、样本页面和脚本,W

4、script.Shell和shell.application组件11.1Web服务器安全3.IIS文件分类设置权限一般情况下,不能同时对文件夹设置写和执行权限,这样会给入侵者留有向站点上传并执行恶意代码的机会。对于IIS中的文件按照类型进行分类,分别建立目录:(1)将所有静态文件(HTML)放到一个文件夹,给予允许读取,拒绝写的权限。(2)将所有的脚本文件,如:ASP、CGI等,给予允许执行,拒绝写和读取的权限。(3)将所有的可执行文件给予允许执行,拒绝读取和写的权限。11.1Web服务器安全4.删除不必要的应用程序映射默认情况下,IIS中存

5、在很多应用程序映射,如.asp、.aspx、.ascx、.cs、.cer等,IIS通过这些映射来调用不同的动态链接库解析相应的文件。5.保护日志安全日志记录对于服务器至关重要,日志可以记录所有用户的请求。11.2网页木马木马又称特洛伊木马,它是具有隐藏性、自发性和可被用来进行恶意攻击行为的程序,是一种通过各种方法直接或间接与远程计算机之间建立链接,从而能够通过网络控制远程计算机的程序。木马的传播途径有很多种,比如:通过电子邮件传播、通过MSN、QQ等即时通信软件传播、利用网页木马嵌入恶意代码来传播等等。在ASP程序设计开发过程中,主要关心的安

6、全问题就是网页木马的植入。11.2网页木马网页木马实质上是一个Web页,利用漏洞获得权限自动下载程序和运行程序。以下是几种常用的挂马方法:1.框架挂马在网页中插入一个隐藏的框架:2.JS文件挂马将嵌入网页木马的代码写成一个JS文件,然后用引入11.2网页木马3.URL伪装挂马在网页中加入一个链接的代码为:欢迎

7、访问百度4.body挂马挂马者可以利用body的onload事件进行加载网页木马,如:5.CSS中挂马攻击者可以将网页木马嵌入到CSS中,来达到隐藏的目的。11.3SQL注入攻击与防范11.3.1SQL注入攻击简介SQL注入攻击(SQLInjection,简称注入攻击)是目前网络攻击的主要手段之一,它是从正常的Web端口访问,对数据库进行攻击的一种攻击方式。SQL注入攻击就其本质而言利用的就是SQL的语法,这就使得攻击具有广泛性。11.3SQL注入

8、攻击与防范11.3.2SQL注入攻击特点1.广泛性2.技术难度不高3.危害性大11.3SQL注入攻击与防范11.3.3SQL注入攻击实现过程1.寻找SQL注入点2.

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。