web中使用的安全协议有.docx
《web中使用的安全协议有.docx》由会员分享,可在线阅读,更多相关《web中使用的安全协议有.docx(4页珍藏版)》请在冰豆网上搜索。
web中使用的安全协议有
竭诚为您提供优质文档/双击可除
web中使用的安全协议有
篇一:
web应用的安全防范
web数据安全
sql注入所谓sql注入,就是通过把sql命令插入到web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的sql命令.
sql注入成因:
我们对表单数据处理时(特别是文本框)、以及url传递参数是经常会产生例如
username=xxx;id=xxx的语句,这一类语句经常被我们传入到后台的一句sql语句进行编译
如select*fromuseRuwhereu.username=‘aaa’andu.password=xxx的语句当我们用参数拼接的方式构造此类sql语句时。
一旦黑客们在前台文本框或uRl填上aaa’or1=1一旦这个参数传入后代中这一句sql就会成立在假设该人了解们系统的表结构或某些表的名称。
甚至可以在后面加入删除表或数据的语句。
后果不堪设想
sql注入的防范:
1、永远不要信任用户的输入。
对用户的输入进行校验,可以通过正则表达式,或限制长度;对单引号和双"-"进行转换等
2、尽量不要使用拼装sql的方式进行数据库操作。
java可以采用预编译的方式也可有效的防止sql注入,或者使用一些持久层框架。
3、没有必要不要使用管理员权限连接数据库
4、对于异常信息不要暴漏给用户。
防止不法分子利用异常测试表结构
xss跨站攻击
xss攻击:
跨站脚本攻击(crosssitescripting),为不和层叠样式表(cascadingstylesheets,css)的缩写混淆。
故将跨站脚本攻击缩写为xss。
xss是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
比如这些代码包括html代码和客户端脚本。
xss攻击原理以及频发区域:
web应用给用户与用户之间提供了一个良好的交互平台。
如论坛可以让人们在网页上交流信息。
但这也成为一些居心不良的黑客们的有利攻击点。
比如一个黑客在某某留言版中写下如下代码〈/script〉〈script〉alert(‘test’)〈/script〉
那么如果我们没有对用户在留言板中的输入做任何校验时。
这段脚本将被展现到所有浏览过这留言版的用户。
当然这段脚本是毫无意义的。
只是弹出了一个提示框而已。
但如果我们用
window.location.href=xxx;这种类似脚本既可以实现简单的跨站攻击,在弹出页面就可以做黑客任意想做的事情。
因为这个页面是黑客随意编写的木马页。
频发区域:
留言板。
个性签名。
论坛帖子、标题、邮箱邮件和一些可以提交到后台的错误日志信息等等。
跨站攻击的防范和sql注入防御一样,xss攻击也是利用了web页面的编写疏忽,所以还有一种方法就是从web应用开发的角度来避免:
步骤1、对所有用户提交内容进行可靠的输入验证,包括对uRl、查询关键字、http头、post数据等,仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交,对其他的一律过滤。
步骤2、实现session标记(sessiontokens)、captcha系统或者http引用头检查,以防功能被第三方网站所执行。
步骤3、确认接收的的内容被妥善的规范化,仅包含最小的、安全的tag(没有javascript),去掉任何对远程内容的引用(尤其是样式表和javascript),使用httponly的cookie。
当然,如上操作将会降低web业务系统的可用性,用户仅能输入少量的制定字符,人与系统间的交互被降到极致,仅适用于信息发布型站点。
并且考虑到很少有web编码人员受过正规的安全培训,很难做到完全避免页面中的xss漏洞。
数据传输安全
每一个web应用的请求中都会带有很多信息。
诸如表单中的信息、请求参数、主机地址等等、这些信息在传输过程中可能被拦截并加以利用。
目前我们做的web应用程序都是基于网络的应用层。
如果我们没有对传输数据进行加密或处理的话攻击者可以从多个层面多数据进行获取
1、通过url参数获得
这种方式也是最直接最简单的方式。
如我们在提交表单时候如果是get方式提交的话我们的url会显示http:
//xxxxxxusername=xxx
首先可以看到我们的信息暴漏无疑。
还有叫攻击者很容易知道我们系统所接受的参数名称。
可通过url进行sql注入等攻击。
2、表示层或传输层侵入当然我们操作的只是表示层,有些网络高手还可以以某些手短侵入网络其他层去获取我们的信息。
解决方案
对于第一种来说相对比较容易
1、使用post来提交表单、如需要url传参时参照下2种方法
2、当我们提交的表单货连接在iframe中时。
路径会隐藏。
3、利用.uRlencoder.encode(base64编码(加密字串),stringcode)这样的方法来对url中的参数进行加密。
如基本的单向加密算法:
base64严格地说,属于编码格式,而非加密算法
md5(messagedigestalgorithm5,信息摘要算法)
sha(securehashalgorithm,安全散列算法)
hmac(hashmessageauthenticationcode,散列消息鉴别码)
复杂的对称加密(des、pbe)、非对称加密算法:
des(dataencryptionstandard,数据加密算法)
pbe(password-basedencryption,基于密码验证)
Rsa(算法的名字以发明者的名字命名:
RonRivest,adishamir和leonardadleman)dh(diffie-hellman算法,密钥一致协议)
dsa(digitalsignaturealgorithm,数字签名)
ecc(ellipticcurvescryptography,椭圆曲线密码编码学)
对用第二种侵入方式的解决方案
我们可以为我们的程序加入ssl协议
ssl(securesocketslayer安全套接层),及其继任者传输层安全(transportlayersecurity,tls)是为网络通信提供安全及数据完整性的一种安全协议。
tls与ssl在传输层对网络连接进行加密。
我们可以知道ssl协议是基于传输层之上的一个协议。
ssl协议提供的服务主要有:
1)认证用户和服务器,确保数据发送到正确的客户机和服务器;
2)加密数据以防止数据中途被窃取;
3)维护数据的完整性,确保数据在传输过程中不被改变。
在我们加入ssl协议后,我们原有的http协议将升级变为https
tomcat中的ssl
如果tomcat作为非独立的容器,如jboss,它嵌入了tomcat.这时候它就相当于一个插件,而不是独立的容器.这种情况下用jboss设置ssl.但如果作为独立的容器.则要设置,有两步:
1.准备安全证书.
2.配置tomcat的ssl连接器.
准备安全证书
从权威机构买证书就不讲了.这里说自我签名的方式.
sun提供了制作签名的工具:
keytool,在jdk1,4以上版本中包含这个工具.它
在:
\bin\keytool.exe
创建证书的命令是:
keytool–genkey–aliastomcat–keyalgRsa
上面命令将会生成一对非对称密钥和自我签名的证书.命令中各参数含义:
-genkey:
生成密钥对
-alias:
指定密钥的别名,别名是公开的.
-keyalg:
指定加密算法,这里是Rsa算法.
该命令运行时会提示输入keystore的密码.输入tomcat默认的密码:
cbangeit,然后会提示输入个人信息,按实输入就行.最后按y确认.最后要输入tomcat密码.就是上面那个.
该命令会在windows的用户目录下生成名为:
.keystore的文件.如果想指定文件存放路径,可以在命令最后加入:
-keystored:
\
实例如下:
c:
\documentsandsettings\administrator>keytool-genkey-aliastomcat-keyalgRsa输入keystore密码:
再次输入新密码:
您的名字与姓氏是什么?
[unknown]:
sun
您的组织单位名称是什么?
[unknown]:
ine
您的组织名称是什么?
[unknown]:
it
您所在的城市或区域名称是什么?
[unknown]:
wh
篇二:
《网络安全与管理》第08章在线测试
d、internet本身没有审计和记录
e、internet从技术上是开放的、标准的,从而对于入侵者也是开放的。
2、影响web安全性的因素为:
a、网络系统的安全漏洞b、操作系统类安全漏洞c、应用系统的安全漏洞d、脚本的安全漏洞e、物理层的安全漏洞
3、影响浏览器本身的漏洞的因素主要为
a、缓冲区溢出漏洞b、递归Frames漏洞c、快捷方式漏洞d、重定向漏洞e、人为操作漏洞
4、虽然web欺骗是危险的和几乎不可察觉的,然而还是可以采用下面的一些方法进行保护。
a、跟踪攻击者b、访问控制c、停掉web服务d、开启病毒防护e、设置强密码口令
5、下列哪些是web站点的脚本编写语言
a、c#b、aspc、jsp
篇三:
支持安全web应用的协议是________。
a.httpsb.htt
一、整体解读
试卷紧扣教材和考试说明,从考生熟悉的基础知识入手,多角度、多层次地考查了学生的数学理性思维能力及对数学本质的理解能力,立足基础,先易后难,难易适中,强调应用,不偏不怪,达到了“考基础、考能力、考素质”的目标。
试卷所涉及的知识内容都在考试大纲的范围内,几乎覆盖了高中所学知识的全部重要内容,体现了“重点知识重点考查”的原则。
1.回归教材,注重基础
试卷遵循了考查基础知识为主体的原则,尤其是考试说明中的大部分知识点均有涉及,其中应用题与抗战胜利70周年为背景,把爱国主义教育渗透到试题当中,使学生感受到了数学的育才价值,所有这些题目的设计都回归教材和中学教学实际,操作性强。
2.适当设置题目难度与区分度
选择题第12题和填空题第16题以及解答题的第21题,都是综合性问题,难度较大,学生不仅要有较强的分析问题和解决问题的能力,以及扎实深厚的数学基本功,而且还要掌握必须的数学思想与方法,否则在有限的时间内,很难完成。
3.布局合理,考查全面,着重数学方法和数学思想的考察
在选择题,填空题,解答题和三选一问题中,试卷均对高中数学中的重点内容进行了反复考查。
包括函数,三角函数,数列、立体几何、概率统计、解析几何、导数等几大版块问题。
这些问题都是以知识为载体,立意于能力,让数学思想方法和数学思维方式贯穿于整个试题的解答过程之中。
升级会员 