A. Web浏览器存在哪些安全隐患如何保证Web浏览器的安全
1、IE的自动登录
拨号上网用户使用IE时,连接对话框有个“保存密码”选项,在Web页面直接登录邮箱时也有“保存密码”选项。看“*”号工具软件可以轻易将密码翻译出来。建议你尽量不要使用该选项。
2、IE的颜色足迹
IE以及Web页面设计者一般都将页面上未访问的和已访问过的链接设置成不同的颜色,虽说方便了用户浏览,但不经意间会泄露了你的浏览足迹。在IE的菜单栏点击[工具]→[Internet选项]→[常规]→[辅助功能],在随后的对话框内勾选格式区域的“不使用Web页中指定的颜色”项,确定之后,点击[颜色]按钮,在“颜色”区域勾选“使用Windows颜色”,在“链接”区域通过色板将未访问的和访问过的链接的颜色设置成相同,别人就看不到你的浏览足迹了。
3、IE的Cookie
Cookie,我们已经介绍过多次了,它可不仅仅是小甜饼哦!可以通过设置不同的安全级别来限制Cookie的使用。如果要彻底删除Cookie,可将目录“Windowscookies”下的所有文件全部删除,这样就可有效保护你的个人隐私了。当然使用个人防火墙也可以对Cookie的允许、提示、禁止等功能的进行使用限制。
4、IE的自动完成
IE的自动完成功能给用户填写表单和输入Web地址带来一定的便利,但同时也给用户带来了潜在的危险,尤其是对于在网吧或公共场所上网的网民。若需禁止该功能,只需点击[工具] →[Internet选项]→[内容],在“个人信息”区域单击[自动完成]按钮,在随后的对话框内清除Web地址、表单及表单的用户名和密码项的选择。
5、IE的历史记录以及临时文件夹
我们在上网浏览信息时,浏览器会把我们在上网过程中浏览的信息保存在历史记录以及临时文件夹(WindowsTemporary Internet Files)中,这样下次再访问同样信息时可以很快地达到目的地,从而提高了我们的浏览效率,但是通过IE的脱机浏览,其他用户能够轻松地翻阅你浏览的内容。如何保护个人信息资料的安全呢?方法如下:点击[工具]→[Internet选项]→[常规]→[删除文件],在“删除文件”对话框中勾选“删除所有脱机内容”,[确定]即可。另外,也可以设置成自动删除临时文件,切换至“高级”选项卡,在安全区域勾选“关闭浏览器时清空Internet临时文件夹”。这样在关闭IE时就会自动删除临时文件夹中的内容了;然后在同样的对话框中单击[清除历史记录]按钮来删除浏览器中的历史记录中的内容。
6、屏蔽ActiveX控件
由于ActiveX控件可以被嵌入到HTML页面中,并下载到浏览器端执行,因此会给浏览器端造成一定程度的安全威胁。同时,其他一些技术,如内嵌于IE的VB Script语言,还有一些新技术,如ASP(Active server Pages)技术同样也都存在着一定的安全隐患。所以我们要屏蔽掉这些可能对计算机安全构成威胁的ActiveX控件,方法如下:点击[工具]→[Internet选项]→[安全]→ [自定义级别],在打开的“安全设置”对话框中找到关于ActiveX控件的设置,就选择“禁用”好了。
7、IE的安全区域设置
IE的安全区设置可以让你对被访问的网站设置信任程度。我们在上网浏览信息时,应经常通过一些报刊杂志来搜集一些黑客站点或其他一些破坏站点的相关信息,并时时注意哪些站点会恶意窃取别人的个人信息,通过一些相关设置来拒绝这些站点对你的信息的访问,从而使浏览器能够自动拒绝这些网站发出的某些对自己有安全威胁的指令。方法是:点击[工具]→[Internet选项]→[安全],单击“受限站点”右边的[站点]按钮,将需要限制的站点的地址添加进去,完成站点地址的添加工作以后,单击[确定]按钮,浏览器将对上述的受限站点起作用。
转自电脑之家网
B. Web服务中可能受到那些安全威胁应对措施是什么
最基本的SQL注入,高并发导致系统瘫痪。
C. web的安全威胁有哪几个方面
1、来自服务器本身及网络环境的安全,这包括服务器系统漏洞,系统权限,网络环境(如ARP等)、网络端口管理等,这个是基础。
2、来自WEB服务器应用的安全,IIS或者Apache等,本身的配置、权限等,这个直接影响访问网站的效率和结果。
3、网站程序的安全,这可能程序漏洞,程序的权限审核,以及执行的效率,这个是WEB安全中占比例非常高的一部分。
4、WEB Server周边应用的安全,一台WEB服务器通常不是独立存在的,可能其它的应用服务器会影响到WEB服务器的安全,如数据库服务、FTP服务等。
这只是大概说了一下,关于WEB应用服务器的安全从来都不是一个独立存在的问题。
web常见的几个漏洞
1. SQL注入。SQL注入攻击是黑客对数据库进行攻击的常用手段之一。
2. XSS跨站点脚本。XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
3. 缓冲区溢出。缓冲区溢出漏洞是指在程序试图将数据放到及其内存中的某一个位置的时候,因为没有足够的空间就会发生缓冲区溢出的现象。
4. cookies修改。即使 Cookie 被窃取,却因 Cookie 被随机更新,且内容无规律性,攻击者无法加以利用。另外利用了时间戳另一大好处就是防止 Cookie 篡改或重放。
5. 上传漏洞。这个漏洞在DVBBS6.0时代被黑客们利用的最为猖獗,利用上传漏洞可以直接得到WEBSHELL,危害等级超级高,现在的入侵中上传漏洞也是常见的漏洞。
6. 命令行输入。就是webshell ,拿到了权限的黑客可以肆意妄为。
D. web的安全威胁与安全防护相关知识,内容越全面越好
有些资料可以推荐:
吴瀚清的《白帽子谈Web安全》
《黑客攻防技术宝典(第2版)》
《Web安全测试》
OWASP的文档和代码项目等等。
E. 考虑下面一些对于web安全的威胁,说明每一种威胁是如何被SSL的某个特定特征所抵制的。
a:128位密钥,现在最好的设备需要解密N多亿年。B:回放攻击是微软要做的问题,目前补丁已经修补了。C:中间人 通过SSL握手解决了。 D:SSL加密的信息是不会被偷听的。 E:劫持后 握手会中断,如果攻击者想重连,还是需要握手协议。 F: 如果需要验证双方的身份,就开始双向验证模式,像一些商务平台需要。 G:洪流攻击可以通过防火墙过滤掉
F. 什么是WEB安全是网络安全么
§1、网站安全概述
一、 常见的网站提供的服务:DNS SERVER,WEB SERVER,E-MAIL SERVER,FTP SERVER,此外网站还需要有个主服务器(最好不要把网站的操作系统服务器与上述的SERVER 放在一起)(不一定全对互联网开放)
1、 这些常见的服务属于TCP/IP协议栈,如果低层安全性被攻击了,则高层安全成了空中楼阁。所以要进行安全分析(安全只是个动态的状态)
2、 TCP/IP协议栈各层常见的攻击(回忆TCP/IP各层结构图)
(1)物理层:数据通过线传输是特点
威胁:监听网线,sniffer软件进行抓包,拓朴结构被电磁扫描攻破
保护:加密,流量填充等
(2)internet层:提供寻址功能是其特点-----路由,IP,ICMP,ARP,RARP
威胁:IP欺骗(工具完成将数据包源地址IP改变)
保护:补丁、防火墙、边界路由器设定
(3)传输层:控制主机间的信息流量-----TCP,UDP
威胁:DOS(图),DDOS,会话劫持等
保护:补丁、防火墙、开启操作系统抗DDOS攻击特性
G. web服务器可能存在的安全问题有哪些
1、来自服务器本身及网络环境的安全,这包括服务器系统漏洞,系统权限,网络环境(如ARP等)专、网属络端口管理等,这个是基础。
2、来自WEB服务器应用的安全,IIS或者Apache等,本身的配置、权限等,这个直接影响访问网站的效率和结果。
3、网站程序的安全,这可能程序漏洞,程序的权限审核,以及执行的效率,这个是WEB安全中占比例非常高的一部分。
4、WEB Server周边应用的安全,一台WEB服务器通常不是独立存在的,可能其它的应用服务器会影响到WEB服务器的安全,如数据库服务、FTP服务等。
H. Web应用安全威胁与防治——基于OWASP Top 10与ESAPI的内容提要
本书共有五篇,第1篇通过几个故事引领读者进入安全的世界;第2篇是基础知识篇,读者可以了解基本的Web应用安全的技术和知识;第3篇介绍了常用的安全测试和扫描工具;第4篇介绍了各种威胁以及测试和解决方案;第5篇在前几篇的基础上,总结在设计和编码过程中的安全原则。
本书各章以一个生动的小故事或者实例开头,让读者快速了解其中的安全问题,然后分析其产生的原因和测试方法并提出有效的解决方案,最后列出处理相关问题的检查列表,帮助读者在以后的工作和学习中更好地理解和处理类似的问题。读完本书之后,相信读者可以将学过的内容应用到Web应用安全设计、开发、测试中,提高Web应用程序的安全,也可以很有信心地向客户熟练地讲解Web应用安全威胁和攻防,并在自己的事业发展中有更多的收获。
本书适用于Web开发人员、设计人员、测试人员、架构师、项目经理、安全咨询顾问等。本书也可以作为对Web应用安全有兴趣的高校学生的教材,是一本实用的讲解Web应用安全的教材和使用手册。
I. 从浏览器,web服务器和传输信道的角度分析web安全威胁有哪些
Web服务器一般指网站服务器,是指驻留于因特网上某种类型计算机的程序,可以向浏览器等Web客户端提供文档,
也可以放置网站文件,让网络用户浏览;可以放置数据文件,提供下载。
Web的特点:
一、Web是图形化的和易于导航的(navigate)
Web非常流行的一个很重要的原因就在于它可以在一页上同时显示色彩丰富的图形和文本的性能。在Web之前Internet上的信息只有文本形式。Web可以提供将图形、音频、视频信息集合于一体的特性。同时,Web是非常易于导航的,只需要从一个连接跳到另一个连接,就可以在各页各站点之间进行浏览了。
二、Web与平台无关
无论你的系统平台是什么,你都可以通过Internet访问WWW。浏览WWW对你的系统平台没有什么限制。无论从Windows平台、UNIX平台、Macintosh还是别的什么平台我们都可以访问WWW。对WWW的访问是通过一种叫做浏览器(browser)的软件实现的。如Netscape 的Navigator、NCSA的Mosaic、Microsoft的Explorer等。
三、Web是分布式的
大量的图形、音频和视频信息会占用相当大的磁盘空间,我们甚至无法预知信息的多少。对于Web没有必要把所有信息都放在一起,信息可以放在不同的站点上。只需要在浏览器中指明这个站点就可以了。使在物理上并不一定在一个站点的信息在逻辑上一体化,从用户来看这些信息是一体的。
J. 针对web应用存在哪些安全威胁提出相应的安全防护措施
应用安全防护解决思路:应用安全问题本质上源于软件质量问题。但应用相较传统的软件,具有其独特性。应用往往是某个机构所独有的应用,对其存在的漏洞,已知的通用漏洞签名缺乏有效性;需要频繁地变更以满足业务目标,从而使得很难维持有序的开发周期;需要全面考虑客户端与服务端的复杂交互场景,而往往很多开发者没有很好地理解业务流程;人们通常认为开发比较简单,缺乏经验的开发者也可以胜任。针对应用安全,理想情况下应该在软件开发生命周期遵循安全编码原则,并在各阶段采取相应的安全措施。然而,多数网站的实际情况是:大量早期开发的应用,由于历史原因,都存在不同程度的安全问题。对于这些已上线、正提供生产的应用,由于其定制化特点决定了没有通用补丁可用,而整改代码因代价过大变得较难施行或者需要较长的整改周期。针对这种现状,专业的安全防护工具是一种合理的选择。应用防火墙(以下简称)正是这类专业工具,提供了一种安全运维控制手段:基于对流量的双向分析,为应用提供实时的防护。与传统防火墙设备相比较,最显着的技术差异性体现在:对有本质的理解:能完整地解析,包括报文头部、参数及载荷。支持各种编码(如、压缩);提供严格的协议验证;提供限制;支持各类字符集编码;具备过滤能力。提供应用层规则:应用通常是定制化的,传统的针对已知漏洞的规则往往不够有效。提供专用的应用层规则,且具备检测变形攻击的能力,如检测加密流量中混杂的攻击。提供正向安全模型(白名单):仅允许已知有效的输入通过,为应用提供了一个外部的输入验证机制,安全性更为可靠。提供会话防护机制:协议最大的弊端在于缺乏一个可靠的会话管理机制。为此进行有效补充,防护基于会话的攻击类型,如篡改及会话劫持攻击。如何正确选择并非对服务器提供保护的“盒子”都是。事实上,一个真正满足需求的应该具有二维的防护体系:纵向提供纵深防御:通过建立协议层次、信息流向等纵向结构层次,构筑多种有效防御措施阻止攻击并发出告警。横向:满足合规要求;缓解各类安全威胁(包括网络层面、基础架构及应用层面);降低服务响应时间、显着改善终端用户体验,优化业务资源和提高应用系统敏捷性。在选择产品时,建议参考以下步骤:结合业务需求明确安全策略目标,从而定义清楚产品必须具备的控制能力评估每一家厂商产品可以覆盖的风险类型测试产品功能、性能及可伸缩性评估厂商的技术支持能力评估内部维护团队是否具备维护、管理产品的必需技能权衡安全、产出以及总成本。“成本”不仅仅意味着购买安全产品服务产生的直接支出,还需要考虑是否影响组织的正常业务、是否给维护人员带来较大的管理开销