A. Web瀏覽器存在哪些安全隱患如何保證Web瀏覽器的安全
1、IE的自動登錄
撥號上網用戶使用IE時,連接對話框有個「保存密碼」選項,在Web頁面直接登錄郵箱時也有「保存密碼」選項。看「*」號工具軟體可以輕易將密碼翻譯出來。建議你盡量不要使用該選項。
2、IE的顏色足跡
IE以及Web頁面設計者一般都將頁面上未訪問的和已訪問過的鏈接設置成不同的顏色,雖說方便了用戶瀏覽,但不經意間會泄露了你的瀏覽足跡。在IE的菜單欄點擊[工具]→[Internet選項]→[常規]→[輔助功能],在隨後的對話框內勾選格式區域的「不使用Web頁中指定的顏色」項,確定之後,點擊[顏色]按鈕,在「顏色」區域勾選「使用Windows顏色」,在「鏈接」區域通過色板將未訪問的和訪問過的鏈接的顏色設置成相同,別人就看不到你的瀏覽足跡了。
3、IE的Cookie
Cookie,我們已經介紹過多次了,它可不僅僅是小甜餅哦!可以通過設置不同的安全級別來限制Cookie的使用。如果要徹底刪除Cookie,可將目錄「Windowscookies」下的所有文件全部刪除,這樣就可有效保護你的個人隱私了。當然使用個人防火牆也可以對Cookie的允許、提示、禁止等功能的進行使用限制。
4、IE的自動完成
IE的自動完成功能給用戶填寫表單和輸入Web地址帶來一定的便利,但同時也給用戶帶來了潛在的危險,尤其是對於在網吧或公共場所上網的網民。若需禁止該功能,只需點擊[工具] →[Internet選項]→[內容],在「個人信息」區域單擊[自動完成]按鈕,在隨後的對話框內清除Web地址、表單及表單的用戶名和密碼項的選擇。
5、IE的歷史記錄以及臨時文件夾
我們在上網瀏覽信息時,瀏覽器會把我們在上網過程中瀏覽的信息保存在歷史記錄以及臨時文件夾(WindowsTemporary Internet Files)中,這樣下次再訪問同樣信息時可以很快地達到目的地,從而提高了我們的瀏覽效率,但是通過IE的離線瀏覽,其他用戶能夠輕松地翻閱你瀏覽的內容。如何保護個人信息資料的安全呢?方法如下:點擊[工具]→[Internet選項]→[常規]→[刪除文件],在「刪除文件」對話框中勾選「刪除所有離線內容」,[確定]即可。另外,也可以設置成自動刪除臨時文件,切換至「高級」選項卡,在安全區域勾選「關閉瀏覽器時清空Internet臨時文件夾」。這樣在關閉IE時就會自動刪除臨時文件夾中的內容了;然後在同樣的對話框中單擊[清除歷史記錄]按鈕來刪除瀏覽器中的歷史記錄中的內容。
6、屏蔽ActiveX控制項
由於ActiveX控制項可以被嵌入到HTML頁面中,並下載到瀏覽器端執行,因此會給瀏覽器端造成一定程度的安全威脅。同時,其他一些技術,如內嵌於IE的VB Script語言,還有一些新技術,如ASP(Active server Pages)技術同樣也都存在著一定的安全隱患。所以我們要屏蔽掉這些可能對計算機安全構成威脅的ActiveX控制項,方法如下:點擊[工具]→[Internet選項]→[安全]→ [自定義級別],在打開的「安全設置」對話框中找到關於ActiveX控制項的設置,就選擇「禁用」好了。
7、IE的安全區域設置
IE的安全區設置可以讓你對被訪問的網站設置信任程度。我們在上網瀏覽信息時,應經常通過一些報刊雜志來搜集一些黑客站點或其他一些破壞站點的相關信息,並時時注意哪些站點會惡意竊取別人的個人信息,通過一些相關設置來拒絕這些站點對你的信息的訪問,從而使瀏覽器能夠自動拒絕這些網站發出的某些對自己有安全威脅的指令。方法是:點擊[工具]→[Internet選項]→[安全],單擊「受限站點」右邊的[站點]按鈕,將需要限制的站點的地址添加進去,完成站點地址的添加工作以後,單擊[確定]按鈕,瀏覽器將對上述的受限站點起作用。
轉自電腦之家網
B. Web服務中可能受到那些安全威脅應對措施是什麼
最基本的SQL注入,高並發導致系統癱瘓。
C. web的安全威脅有哪幾個方面
1、來自伺服器本身及網路環境的安全,這包括伺服器系統漏洞,系統許可權,網路環境(如ARP等)、網路埠管理等,這個是基礎。
2、來自WEB伺服器應用的安全,IIS或者Apache等,本身的配置、許可權等,這個直接影響訪問網站的效率和結果。
3、網站程序的安全,這可能程序漏洞,程序的許可權審核,以及執行的效率,這個是WEB安全中佔比例非常高的一部分。
4、WEB Server周邊應用的安全,一台WEB伺服器通常不是獨立存在的,可能其它的應用伺服器會影響到WEB伺服器的安全,如資料庫服務、FTP服務等。
這只是大概說了一下,關於WEB應用伺服器的安全從來都不是一個獨立存在的問題。
web常見的幾個漏洞
1. SQL注入。SQL注入攻擊是黑客對資料庫進行攻擊的常用手段之一。
2. XSS跨站點腳本。XSS是一種經常出現在web應用中的計算機安全漏洞,它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。
3. 緩沖區溢出。緩沖區溢出漏洞是指在程序試圖將數據放到及其內存中的某一個位置的時候,因為沒有足夠的空間就會發生緩沖區溢出的現象。
4. cookies修改。即使 Cookie 被竊取,卻因 Cookie 被隨機更新,且內容無規律性,攻擊者無法加以利用。另外利用了時間戳另一大好處就是防止 Cookie 篡改或重放。
5. 上傳漏洞。這個漏洞在DVBBS6.0時代被黑客們利用的最為猖獗,利用上傳漏洞可以直接得到WEBSHELL,危害等級超級高,現在的入侵中上傳漏洞也是常見的漏洞。
6. 命令行輸入。就是webshell ,拿到了許可權的黑客可以肆意妄為。
D. web的安全威脅與安全防護相關知識,內容越全面越好
有些資料可以推薦:
吳瀚清的《白帽子談Web安全》
《黑客攻防技術寶典(第2版)》
《Web安全測試》
OWASP的文檔和代碼項目等等。
E. 考慮下面一些對於web安全的威脅,說明每一種威脅是如何被SSL的某個特定特徵所抵制的。
a:128位密鑰,現在最好的設備需要解密N多億年。B:回放攻擊是微軟要做的問題,目前補丁已經修補了。C:中間人 通過SSL握手解決了。 D:SSL加密的信息是不會被偷聽的。 E:劫持後 握手會中斷,如果攻擊者想重連,還是需要握手協議。 F: 如果需要驗證雙方的身份,就開始雙向驗證模式,像一些商務平台需要。 G:洪流攻擊可以通過防火牆過濾掉
F. 什麼是WEB安全是網路安全么
§1、網站安全概述
一、 常見的網站提供的服務:DNS SERVER,WEB SERVER,E-MAIL SERVER,FTP SERVER,此外網站還需要有個主伺服器(最好不要把網站的操作系統伺服器與上述的SERVER 放在一起)(不一定全對互聯網開放)
1、 這些常見的服務屬於TCP/IP協議棧,如果低層安全性被攻擊了,則高層安全成了空中樓閣。所以要進行安全分析(安全只是個動態的狀態)
2、 TCP/IP協議棧各層常見的攻擊(回憶TCP/IP各層結構圖)
(1)物理層:數據通過線傳輸是特點
威脅:監聽網線,sniffer軟體進行抓包,拓樸結構被電磁掃描攻破
保護:加密,流量填充等
(2)internet層:提供定址功能是其特點-----路由,IP,ICMP,ARP,RARP
威脅:IP欺騙(工具完成將數據包源地址IP改變)
保護:補丁、防火牆、邊界路由器設定
(3)傳輸層:控制主機間的信息流量-----TCP,UDP
威脅:DOS(圖),DDOS,會話劫持等
保護:補丁、防火牆、開啟操作系統抗DDOS攻擊特性
G. web伺服器可能存在的安全問題有哪些
1、來自伺服器本身及網路環境的安全,這包括伺服器系統漏洞,系統許可權,網路環境(如ARP等)專、網屬絡埠管理等,這個是基礎。
2、來自WEB伺服器應用的安全,IIS或者Apache等,本身的配置、許可權等,這個直接影響訪問網站的效率和結果。
3、網站程序的安全,這可能程序漏洞,程序的許可權審核,以及執行的效率,這個是WEB安全中佔比例非常高的一部分。
4、WEB Server周邊應用的安全,一台WEB伺服器通常不是獨立存在的,可能其它的應用伺服器會影響到WEB伺服器的安全,如資料庫服務、FTP服務等。
H. Web應用安全威脅與防治——基於OWASP Top 10與ESAPI的內容提要
本書共有五篇,第1篇通過幾個故事引領讀者進入安全的世界;第2篇是基礎知識篇,讀者可以了解基本的Web應用安全的技術和知識;第3篇介紹了常用的安全測試和掃描工具;第4篇介紹了各種威脅以及測試和解決方案;第5篇在前幾篇的基礎上,總結在設計和編碼過程中的安全原則。
本書各章以一個生動的小故事或者實例開頭,讓讀者快速了解其中的安全問題,然後分析其產生的原因和測試方法並提出有效的解決方案,最後列出處理相關問題的檢查列表,幫助讀者在以後的工作和學習中更好地理解和處理類似的問題。讀完本書之後,相信讀者可以將學過的內容應用到Web應用安全設計、開發、測試中,提高Web應用程序的安全,也可以很有信心地向客戶熟練地講解Web應用安全威脅和攻防,並在自己的事業發展中有更多的收獲。
本書適用於Web開發人員、設計人員、測試人員、架構師、項目經理、安全咨詢顧問等。本書也可以作為對Web應用安全有興趣的高校學生的教材,是一本實用的講解Web應用安全的教材和使用手冊。
I. 從瀏覽器,web伺服器和傳輸信道的角度分析web安全威脅有哪些
Web伺服器一般指網站伺服器,是指駐留於網際網路上某種類型計算機的程序,可以向瀏覽器等Web客戶端提供文檔,
也可以放置網站文件,讓網路用戶瀏覽;可以放置數據文件,提供下載。
Web的特點:
一、Web是圖形化的和易於導航的(navigate)
Web非常流行的一個很重要的原因就在於它可以在一頁上同時顯示色彩豐富的圖形和文本的性能。在Web之前Internet上的信息只有文本形式。Web可以提供將圖形、音頻、視頻信息集合於一體的特性。同時,Web是非常易於導航的,只需要從一個連接跳到另一個連接,就可以在各頁各站點之間進行瀏覽了。
二、Web與平台無關
無論你的系統平台是什麼,你都可以通過Internet訪問WWW。瀏覽WWW對你的系統平台沒有什麼限制。無論從Windows平台、UNIX平台、Macintosh還是別的什麼平台我們都可以訪問WWW。對WWW的訪問是通過一種叫做瀏覽器(browser)的軟體實現的。如Netscape 的Navigator、NCSA的Mosaic、Microsoft的Explorer等。
三、Web是分布式的
大量的圖形、音頻和視頻信息會佔用相當大的磁碟空間,我們甚至無法預知信息的多少。對於Web沒有必要把所有信息都放在一起,信息可以放在不同的站點上。只需要在瀏覽器中指明這個站點就可以了。使在物理上並不一定在一個站點的信息在邏輯上一體化,從用戶來看這些信息是一體的。
J. 針對web應用存在哪些安全威脅提出相應的安全防護措施
應用安全防護解決思路:應用安全問題本質上源於軟體質量問題。但應用相較傳統的軟體,具有其獨特性。應用往往是某個機構所獨有的應用,對其存在的漏洞,已知的通用漏洞簽名缺乏有效性;需要頻繁地變更以滿足業務目標,從而使得很難維持有序的開發周期;需要全面考慮客戶端與服務端的復雜交互場景,而往往很多開發者沒有很好地理解業務流程;人們通常認為開發比較簡單,缺乏經驗的開發者也可以勝任。針對應用安全,理想情況下應該在軟體開發生命周期遵循安全編碼原則,並在各階段採取相應的安全措施。然而,多數網站的實際情況是:大量早期開發的應用,由於歷史原因,都存在不同程度的安全問題。對於這些已上線、正提供生產的應用,由於其定製化特點決定了沒有通用補丁可用,而整改代碼因代價過大變得較難施行或者需要較長的整改周期。針對這種現狀,專業的安全防護工具是一種合理的選擇。應用防火牆(以下簡稱)正是這類專業工具,提供了一種安全運維控制手段:基於對流量的雙向分析,為應用提供實時的防護。與傳統防火牆設備相比較,最顯著的技術差異性體現在:對有本質的理解:能完整地解析,包括報文頭部、參數及載荷。支持各種編碼(如、壓縮);提供嚴格的協議驗證;提供限制;支持各類字元集編碼;具備過濾能力。提供應用層規則:應用通常是定製化的,傳統的針對已知漏洞的規則往往不夠有效。提供專用的應用層規則,且具備檢測變形攻擊的能力,如檢測加密流量中混雜的攻擊。提供正向安全模型(白名單):僅允許已知有效的輸入通過,為應用提供了一個外部的輸入驗證機制,安全性更為可靠。提供會話防護機制:協議最大的弊端在於缺乏一個可靠的會話管理機制。為此進行有效補充,防護基於會話的攻擊類型,如篡改及會話劫持攻擊。如何正確選擇並非對伺服器提供保護的「盒子」都是。事實上,一個真正滿足需求的應該具有二維的防護體系:縱向提供縱深防禦:通過建立協議層次、信息流向等縱向結構層次,構築多種有效防禦措施阻止攻擊並發出告警。橫向:滿足合規要求;緩解各類安全威脅(包括網路層面、基礎架構及應用層面);降低服務響應時間、顯著改善終端用戶體驗,優化業務資源和提高應用系統敏捷性。在選擇產品時,建議參考以下步驟:結合業務需求明確安全策略目標,從而定義清楚產品必須具備的控制能力評估每一家廠商產品可以覆蓋的風險類型測試產品功能、性能及可伸縮性評估廠商的技術支持能力評估內部維護團隊是否具備維護、管理產品的必需技能權衡安全、產出以及總成本。「成本」不僅僅意味著購買安全產品服務產生的直接支出,還需要考慮是否影響組織的正常業務、是否給維護人員帶來較大的管理開銷