信息安全工程师----第七章 7.1Web安全

第七章 7.1Web安全

Web安全

由于各类新一代的web应用产品诞生，web应用与业务越来越广泛，黑客利用网站操作系统漏洞、应用系统漏洞、SQL注入漏洞、网络钓鱼、僵尸网络、键盘记录程序等方法获取服务器控制权，从而可以进行篡改网页、窃取数据、植入木马等非法活动。

Web 安全威胁的防护技术

Web安全 威胁：* SQL注入

• 跨站攻击
• 旁注攻击

• 失效的身份认证和会话管理

  WEB 访问安全访问控制是Web 站点安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法访问者访问。访问Web 站点要进行用户名、用户口令的识别与验证、用户账号的缺省限制检查。只要其中任何一关未过，该用户便不能进人某站点进行访问。

Web 服务器的访问控制方法：

1. 通过IP地址、子网或域名来进行控制
2. 通过用户名/口令来进行访问控制

3. 通过公钥加密体系PKI-智能认证卡来进行访问控制

   单点登录技术单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证，实现”一点登录、多点漫游”的目标，方便用户使用。

单点登录系统采用基于数字证书的加密和数字签名技术，基于统一的策略的用户身份认证和授权控制功能，从而实现”一点登录、多点漫游”。

但是在实际应用中，一些理论上不错的方案却在实际中无法实现，这里总结三个主要的方面:计算环境相关的问题；组织结构的问题和电子身份认证方法的问题。

单点登录模型：

• 基于网关的SSO 模型
• 基于验证代理的SSO 模型

• 基于Kerberos 的SSO 模型

  两页防篡改技术

网页存在两种被篡改的方式，一种是网站被入侵后页面被篡改，另一种是网站被劫持

常见的网页防篡改技术：
1.时间轮询技术
时间轮询技术是利用一个两页检测程序，以轮询方式读出要监控的网页，与真实网页相比较，来判断网页内容的完整性，对于被篡改的网页进行报警和恢复。

2.核心内嵌技术+事件触发技术
所谓事件触发技术就是利用操作系统的文件系统或驱动程序接口，在网页文件的被修改时进行合法性检查，对于非法操作进仔报警和恢复。
所谓核心内嵌技术即密码水印技术。该技术将篡改检测模块内嵌在Web 服务器软件里，它在每一个网页流出时都进行完整性检查，对于篡改网页进行实时访问阻断，井予以报警和恢复。

3.文件过滤驱动技术+事件触发技术
其原理是:将篡改监测的核心程序通过微软文件底层驱动技术应用到Web 服务器中，通过事件触发方式进行自动监测，对文件夹的所有文件内容，对照其底层文件属性，经过内置散列快速算法，实时进行监测，若发现属性变更，通过非协议方式，纯文件安全拷贝方式将备份路径文件夹内容拷贝到监测文件夹相应文件位置，通过底层文件驱动技术，整个文件复制过程毫秒级，使得公众无法看到被篡改页面，其运行性能和检测实时性都达到最高的水准。

WEB 内容安全

内容安全是保障企业内部重要信息不被泄露或者丢失

内容安全技术主要有：

• 电子邮件过滤
• 网页过滤
• 反间谍软件三大技术