毕业论文：Web安全对策研究.doc

Web安全对策研究摘耍本文主要以Web应用和服务的大众化平台——网站系统的安全为研究对象包括服务器、操 作系统、数据丿牟、编程语言和客户端，分析Web应用中存在的各种安全问题、Web网络的 安全性设置问题、如何保护Web站点上的机密数据问题、各种Web服务器的安全设置问 题和各种程序语言的安全问题在研究方法上，根据系统论的观点，将Web安全的各个问 题分类，按照系统平台安全、程序女全、数据女全和通信安全的结构来组织全文并采用理 论分析与实践结合的方法来书写文章的内容通过以上分析，得出了一些加强Web女全的 可操作性经验和对策这些对策体现了现在通用的最佳实践原则关键词：网站；Web安全；系统安全Research on Web Security's CountermeasuresAbstractThis thesis researched the security of the website system , which is the popular Web applications and services platform. This system is in elude servers, operati ng system, database, web procedure and the die nt. The thesis an alysis the various security issues of Web applications, how to set up a security configuration, how to protect the con fide ntial data on the website, all kinds of Web server's security settings and various programming Ianguage!s security. In the research methods, according to the theory of system, this thesis sort out Web security issues as system Platform security, process security, communication security and security of the data・ And the thesis* structure was organized by the classification. The contents of the thesis were written not only by theoretical analysis but also by practice approach. After the research, we got some strengthening of the security Web operational experience and countermeasures・ Those countermeasures are in the rule of best practice.keyword： Website； Web Security； System Security目录 摘要IAbstract II目录III1绪论1 1.1课题背景及目的11.2国内外研究状况11.3论文构成及研究内容22 WEB安全概述32.1 WEB安全的定义32.2 WEB安全面临的问题32.2.1 WEB服务器的安全32.2.2 WEB客八端的安全32.2.3 WEB通信的安全42.3 WEB安全的对策42.3.1物理安全策略42.3.2访问控制策略42.3.3信息加密策略52.3.4女全管理策略53系统平台安全63.1操作系统65.1.1 UNIX操作系统65.1.2 LINUX安全设置65.1.3 WINDOWS 系统 7WEB服务器平台8IIS 平台 83.2.1.1删除不必要的虚拟忖录83.2.1.2删除危险的IIS组件8 3.2.1.3为IIS中的文件分类设置权限93.2.1.4删除不必耍的应用程序映射9APACHE T台 10APACHE服务器的安全特性103.22.2 APACHE主耍的安全缺陷103.2.2.3 APACHE的安全配置114程序安全124.1 ASP 程序 124.1.1源代码泄露124.1.2 SQL 注入 124.2 PHP 程序 134.2.1关闭错误显示134.2.2开启安全模式134.3 ASP.NET 和 JSP 程序 145数据安全145.1常用数据库14ACCESS 数据丿牟 145.1.1.1 ACCESS数据库的存储隐患145.1.1.2 ACCESS数据廉的解密隐患155.1.1.3防止ACCESS数据库被下载155.1.2MSSQL 数据库 155.1.2.1使用加密协议155.1.2.2修改所使用的TCP/IP端口 165.1.3 MYSQL 数据库 165.1.3.1帐户安全165.1.3.2访问安全165.2防盗链和采集165.2.1防盗链175.4.2防采集176网络安全176.1客户端安全性186.1.1 ACTIVEX 186.1.2 JAVASCRIPT 186.1.3 COOKIES 186.2黑客攻击186.21获得系统权限196.2.2中止WEB服务196.3防火墙196.3.1包过滤防火墙196.3.2代理防火墙196.3.3双穴主机防火墙20总 结21致谢21参考文献231绪论1.1课题背戢及目的 中国的互联网发展己进入了第二个十年，随着互联网的基础设施的建设，人们观念意识的变 革，互联网越来越成为人们生活中不可分割的一部分。

基于互联网的Web应用如火如荼， 迅速发展，各类网站数量也呈井喷式增长，随之而來的，是H益突出的安全问题不断被发 现的漏洞，黑客的恶意攻击，在网络上疯狂爬行的蠕虫，迅速扩散的病毒，盗収虚拟财物的 木马，所有这一切都令人惶惶不可终日人们-访面享受着Web带來的好处，另一方面却 要忍受着不可预料的安全威胁本课题就是针对这种尴尬的现状，全面地介绍和分析Web 服务和应用中存在的各种漏洞和所面临的各种威胁，探讨Web安全问题的对策1.2国内外研究状况目前和相当-•段时间内，国内外关于Web安全的研究主要从安全协议的制定、系统平台的 安全、网站程序的安全编程、安全产品的研发、Web服务器的安全控制等方面着手安全 协议的制定方面，已经提出了人量实用的安全协议，具有代表性的有：电子商务协议SET, IPSec协议，SSLTTLS协议，简单•网络管理协议SNMP, PGP协议，PEM协议，S-HTTP 协议，S/MIME协议等这些协议的安全性分析特别是电子商务协议，IPSec协议，TLS协 议是当两协议研究中的热点系统平台的安全方面主耍研究安全操作系统、安全数据库等, 以及现有常用系统(如WINDOWS,UNIX,LINUX)的安全配置；述有就是针对黑客常用的攻击 手段制定安全策略。

网站程序的安全编程方面，主要研究规范化编程以及现有编程语言(ASP,ASP.NET,PHP,CGI,JSP等)的安全配置和发布增加功能与安全性的新版本安全 产品的研发方面，目前在市场上比较流行，而乂能够代表未來发展方向的安全产品人致有以 下几类:防火墙、安全路山器、虚拟专用网VPN、安全服务器、电子签证机构CA和PKI产 品、用户认证产品、安全管理中心、入侵检测系统IDS、入侵防御系统IPS等；在上述所有 主要的发展方向和产品种类上，都纽含了密码技术的应用，并且是非常基础性的应用Web 服务器的安全控制方面，主耍研究时卜•流行的Apache. IIS的安全缺陷分析与安全配置， 如Apache的访问控制机制、安全模块，IIS的安全锁定等1.3论文构成及研究内容本文根据对Web女全概念做出的定义，分系统安全、程序女全、数据女全和通信女全对 Web安全问题所涉及的四个主要方面分章节做出相应的论述系统安全方面，介绍和分析 两大类操作系统类UNIX和Windows拼对Apache和IIS平台的安全设置进行了一讹分析 程序女全方面，主要介绍了 ASP和PHP这两种个人常冇的编程语言，并对企业级开发语 言ASP.Net和JSP做了粗略的介绍。

通信女全方面，通过对客户端脚本ActiveX和 JavaScript,以及Cookies的研究，大致地对Web客户端安全做出了分析数据安全方面, 一是论述了常见数据库的女全，二是介绍了时下最新的数据女全威胁——盗链和采集，并给 出了札I应的解决办法2 WEB安全概述WEB安全的定义Web作为建立在Internet基础上的应用，Web安全的定义不町避免地与网络安全和信息安 全概念相重叠，其内涵和外延可看作网络安全和信息安全的一个子集网络安全是指网络系 统的硬件、软件及其系统中的数据受到保护，不受偶然的因素或者恶意的攻击而遭到破坏、 更改、泄露，确保系统能连续、可靠、止常地运行，网络服务不中断［1］国家信息安全重 点实验室对信息安全给出的定义是：“信息安全涉及到信息的机密性、完整性、对用性、可 控性综合起來说，就是要保障电子信息的有效性据此我们给Web安全做出如下定义： Web女全是指信息在网络传输过程中不丢失、不被篡改和只被授权用户使用，包括系统女 全、程序安全、数据安全和通信安全本文即根据此定义分章论述WEB安全面临的问题2.2.1 WEB服务器的安全在Web安全中，服务器的安全是最基础也是最困难的，因为服务器的源代码庞杂，如 FreeBSD6.0 的汇编行数达到 1,271,723, OpenBSD 则有 1,260, 707[2], Windows Vista 更是达到惊人的5000万行。

针对Web服务器具体的安全威胁主要体现在：服务器程序编 写不当导致的远程代码执行；应用程序编写不当、过滤不严格造成的代码注入，对能引起信 息泄漏、文件越权卜•载、验证绕过、远程代码执行等；乐观相信用八输入、过滤不严格导致 跨站脚木攻击，在欺骗管理员的前提卜，通过精心设计的脚木获得服务端Shell；针对服务 器系统的拒绝服务攻击2.2.2 WEB客八端的安全当用户使用浏览器查看、编辑网络内容时，采用了 ActiveX、Java Applet、Cookie等技术 的应用程序会自动下载并在客户机上运行，如果这些程序被恶意使用，可以窃取、改变或删 除客户机上的信息对于恶意程序的侵害，用八很难实时的判断程序性质，因此在获得高 度交互的Web服务时•，如何抵御这些女全威胁绝非简单的客户端设置就可以解决的同时•, 跨站脚本攻击对于客户端的安全威胁同样无法忽视，跨站脚本攻击属于被动式的攻击，因为 其被动且不好利用，所以许多人常忽略其危害性与之相对的是，利用跨诂脚本攻击的蠕虫 已经在网络中肆鹿过2.2.3 WEB通信的安全和其他的Internet应用一•样，Web信道同样面临着网络嗅探和以拥塞信道、耗费资源为目 的的拒绝服务攻击的威胁。

盂要注意的是，很多针对Web应用的攻击并非只针对服务端、 客户端或信道，综合利用各方面的安全漏洞进行攻击的案例数不胜数WEB安全的对策2.3.1物理安全策略物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受口 然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限、防止川户越权操作；确保计算 机系统有一个良好的。