【文章內(nèi)容簡介】 置數(shù)據(jù)庫的連接權(quán)限11：跨站腳本攻擊XSS分三類：（1）反射型XSS（2）存儲型XSS（3）DOMbased XSS12：反射型XSS也稱作為非持久型跨站腳本攻擊：一般是向用戶發(fā)出帶有惡意攻擊腳本的一個URL連接，誘騙用戶區(qū)點擊。 存儲型XSS稱為持久型跨站腳本攻擊，攻擊者將惡意數(shù)據(jù)非法存儲在Web服務(wù)器端的頁面中。 DOMbased XSS是基于文檔對象模型的跨站腳本攻擊，攻擊者通過對javascript腳本動態(tài)修改DOM結(jié)構(gòu)，進而導(dǎo)致XSS漏洞。13：XSS的防范（1）給關(guān)鍵Cookie設(shè)置Httponly標識（2）進行輸入檢查（3）進行輸出查14：跨站腳本請求偽造（CSRF）是偽造客戶端請求的一種攻擊方式。是讓用戶訪問攻擊者偽造的網(wǎng)頁，執(zhí)行網(wǎng)頁中的惡意腳本。 防范措施：（1）使用驗證碼（2）在用戶會話驗證信息中添加隨機數(shù)15：木馬的連接方式：木馬程序都采用C/S的結(jié)構(gòu)，他由兩部分程序組成，客戶端和服務(wù)端木馬程序，攻擊一方安裝木馬的客戶端，同時誘騙用戶安裝木馬的服務(wù)端。16：防火墻的功能：（1）防火墻在內(nèi)網(wǎng)外網(wǎng)之間進行數(shù)據(jù)過濾（2）對網(wǎng)絡(luò)傳輸和訪問的數(shù)據(jù)進行記錄和審計（3）防范內(nèi)外網(wǎng)之間的異常網(wǎng)絡(luò)攻擊（4）通過配置NAT提高網(wǎng)絡(luò)地址轉(zhuǎn)換功能17：防火墻技術(shù)：（1）包過濾技術(shù)（2）狀態(tài)監(jiān)測技術(shù)（3）地址翻譯技術(shù)（4）應(yīng)用級網(wǎng)關(guān)技術(shù)18：防火墻體系結(jié)構(gòu)：雙重宿主主機體系結(jié)構(gòu)，屏蔽主機體系結(jié)構(gòu)和屏蔽子網(wǎng)體系結(jié)構(gòu)的防火墻19：入侵檢測系統(tǒng)的分類（1）根據(jù)數(shù)據(jù)采集方式的分類：基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)NIDS和基于主機的入侵檢測系統(tǒng)HIDS（2）根據(jù)檢測原理分類：誤用檢測型入侵檢測系統(tǒng)和異常檢測型入侵檢測系統(tǒng)。 誤用檢測技術(shù)（1）專家系統(tǒng)（2）模型推理 異常檢測技術(shù)（1）統(tǒng)計分析（2）神經(jīng)網(wǎng)絡(luò)（3）其他入侵檢測技術(shù)：模式匹配，文件完整性檢驗，數(shù)據(jù)挖掘，計算機免疫20：入侵檢測體系結(jié)構(gòu)：基于網(wǎng)絡(luò)/主機的入侵檢測系統(tǒng)，集中式結(jié)構(gòu)，分布式結(jié)構(gòu) 21：入侵檢測系統(tǒng)包括探測器和控制臺兩大部分：探測器是專用的硬件設(shè)備負責(zé)網(wǎng)絡(luò)數(shù)據(jù)流的捕獲，分析檢測和報警等。控制臺是管理探測器的工具，它負責(zé)接收探測器的檢測日志數(shù)據(jù)，并提供數(shù)據(jù)查詢和報告生成功能。22：入侵防御系統(tǒng)可以實現(xiàn)下面3個功能（1）攔截惡意流量（2）實現(xiàn)對傳輸內(nèi)容的深度檢測和安全防護（3）對網(wǎng)絡(luò)流量檢測的同時進行過濾23：入侵防御系統(tǒng)的部署（1）內(nèi)外網(wǎng)絡(luò)的邊界（2）DMZ與防火墻的邊界（3）內(nèi)網(wǎng)核心交換機和防火墻中間（4）內(nèi)網(wǎng)關(guān)鍵服務(wù)器的外側(cè)24：入侵防御系統(tǒng)的不足（1）可能造成單點故障（2）可能造成性能瓶頸（3）漏報和誤報的影響25：公共密鑰基礎(chǔ)設(shè)施PKI的作用主要包括（1）驗證用戶身份并頒發(fā)證書（2）確保用于證書簽名的非對稱密鑰的安全（3）管理證書信息資料26：證書認證機構(gòu)系統(tǒng)的組成結(jié)構(gòu)：認證中心（根CA），密鑰管理中心（KM），認證下級中心（子CA），證書審批中心（RA中心），證書審批受力點（RAT）27：證書的驗證（1）驗證有效性（2）驗證可用性（3）驗證真實性證書的安全性（1）物理安全（2）網(wǎng)絡(luò)安全（3）密碼安全28：信任模式：（1）單證書認證機構(gòu)信任模式：這種模式中的PKI體系只有一個證書認證機構(gòu)，PKI的所有終端用戶都信任這個證書認證機構(gòu)（2）層次信任模式：由一級根證書認證機構(gòu)1個，二級的政策證書認證機構(gòu)3個，三級的運營證書認證機構(gòu)多個，三個層次組成。第一層為根認證機構(gòu)（Root CA），第二層為政策證書認證機構(gòu)（Policy CA），第三層為運營證書認證機構(gòu)（Operation CA）（3）橋證書機構(gòu)認證信任模式：使不同結(jié)構(gòu)類型的PKI體系中的中端用戶都可以通過橋證書認證機構(gòu)連接在一起，并實現(xiàn)相互信任。29：虛擬專網(wǎng)VPN分為ClientLAN（也被稱為遠程訪問型VPN）和LANLAN兩種連接類型（也被稱為網(wǎng)絡(luò)到網(wǎng)關(guān)類型的VPN）。30:VPN應(yīng)用了多種信息安全技術(shù)和網(wǎng)絡(luò)技術(shù)，包含隧道技術(shù)，加密解密，完整性驗證密鑰管理技術(shù)和身份認證技術(shù)。其中網(wǎng)絡(luò)隧道技術(shù)室VPN的關(guān)鍵技術(shù)，它的原理是使一種協(xié)議封裝在另一種安全協(xié)議中傳輸，從而實現(xiàn)被封裝協(xié)議的安全性。31：VPN協(xié)議的分類（1） 第二層隧道協(xié)議即鏈路層隧道協(xié)議，主要有三種，第一種點對點隧道協(xié)議PPTP，第二種是二層轉(zhuǎn)發(fā)協(xié)議L2F，第三種二層隧道協(xié)議L2TP，結(jié)合前面兩種協(xié)議的優(yōu)點。（2） 介于二三層之間的隧道協(xié)議：MPLS VPN是一種基于多協(xié)議標記交換MPLS技術(shù)的IPVPN（3） 第三層隧道協(xié)議即網(wǎng)絡(luò)層的隧道協(xié)議，主要包括IPSec和GRE等隧道協(xié)議（4） 傳輸層的SSL VPN協(xié)議，采用標準的安全套接層協(xié)議SSL對傳輸?shù)臄?shù)據(jù)包進行加密32：Internet安全協(xié)議IPSec包括網(wǎng)絡(luò)安全協(xié)議和米啊喲協(xié)商協(xié)議兩部分。 網(wǎng)絡(luò)安全協(xié)議包括：認證協(xié)議頭AH協(xié)議和安全載荷封裝ESP協(xié)議。密鑰協(xié)商協(xié)議包括互聯(lián)網(wǎng)密鑰交換協(xié)議IKE等33：（1）ESP協(xié)議為基于IPSec的數(shù)據(jù)通信提供了安全加密，身份認證和數(shù)據(jù)完整性鑒別這三種安全保護機制。根據(jù)封裝的內(nèi)容不同，可將ESP分為傳輸模式和隧道模式兩種模式。傳輸模式下，ESP對于要傳輸?shù)腎P數(shù)據(jù)包中的IP有效數(shù)據(jù)載荷進行加密和認證。隧道模式用于網(wǎng)關(guān)設(shè)備到網(wǎng)關(guān)設(shè)備的網(wǎng)絡(luò)連接。ESP采用的主要加密標準時DES和3DES（2）認證協(xié)議頭分為傳輸模式和隧道模式兩種。分別用于和ESP相同的網(wǎng)絡(luò)連接環(huán)境中傳輸模式中，認證協(xié)議頭被插在IP數(shù)據(jù)包的IP頭之后，有效數(shù)據(jù)載荷之前，它對整個新IP數(shù)據(jù)包進行完整性檢驗認證，IP報頭AH頭IP有效載荷隧道模式中IP數(shù)據(jù)包格式不變，認證協(xié)議頭被插在原IP頭之前，并生成一個新的IP頭放在認證協(xié)議頭之前，新IP報頭AH報頭原IP報頭IP有效載荷（3）密鑰協(xié)商協(xié)議ESP和認證協(xié)議在進行IPSec數(shù)據(jù)安全封裝過程中需要使用加密算法，數(shù)據(jù)完整性檢驗算法和密鑰等多種安全參數(shù)。IKE協(xié)議負責(zé)兩個IPSec對等體之間協(xié)商相關(guān)安全參數(shù)，包括協(xié)商協(xié)議參數(shù)，交換公共密鑰，雙方進行認證以及在交換安全參數(shù)后對密鑰的管理，IKE協(xié)議屬于混合型協(xié)議，由3個協(xié)議組成：ISAKMP,Oakley。IKE使用兩階段協(xié)商安全參數(shù)：第一階段，通過協(xié)商IKE SA建立一個通信信道并對該信道進行驗證。第二階段，IKE使用第一階段由IKE SA協(xié)議建立的安全通道一