freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

網(wǎng)絡(luò)安全第7章web的安全-資料下載頁

2025-02-08 11:14本頁面
  

【正文】 1. ? ,能被用于一臺 Web服務(wù)器來建立強(qiáng)大的 Web應(yīng)用程序 。 ? 由于 ,所以它的強(qiáng)大性和適應(yīng)性 , 可以使它運(yùn)行在 Web應(yīng)用軟件開發(fā)者的幾乎全部的平臺上 。 1. ( 1) 不良配置控制帶來的信息泄漏 義的出錯信息 , 如果這個特性被關(guān)閉 , 自定義的錯誤信息未被使用 , 服務(wù)器會向客戶返回調(diào)試信息 , 文件名 、 路經(jīng) 、 源代碼等都會泄露給用戶 。 ( 2) ASP中常用的標(biāo)準(zhǔn)組件 FileSystemObject提供了強(qiáng)大的文件系統(tǒng)訪問能力 , 可以對服務(wù)器硬盤上的任何有權(quán)限的目錄和文件進(jìn)行讀寫 、 刪除 、 改名等操作 。這一功能為開發(fā)帶來了方便 , 但也使安全防范問題變得復(fù)雜 。 1. ( 3) SQL語句漏洞 Select語句在判斷查詢條件時(shí) , 遇到或 (or)操作就會忽略下面的與 ( and) 操作 。 這個漏洞可能被用來繞過密碼驗(yàn)證 。 ( 4) NULL字節(jié)漏洞 , 增加了請求確認(rèn)的功能 , 對跨站腳本攻擊 、 腳本插入攻擊進(jìn)行一定的防護(hù) 。 但 對用戶提交的參數(shù)缺乏充分的處理 , 如在標(biāo)記中插入 NULL字符 ,遠(yuǎn)程攻擊者可以利用這個漏洞繞過內(nèi)容限制 , 對應(yīng)用程序進(jìn)行跨站腳本攻擊 、 腳本插入攻擊 。 ( 5) 跨站腳本漏洞 跨站腳本的 JavaScript可以在某個站點(diǎn)或電子郵件中放置一個惡意的 URL, 如用戶點(diǎn)擊了該 URL, 則用戶的機(jī)器會受到各種方式的入侵 , 如獲取數(shù)據(jù)文件等 。 2. ( 1) 安全結(jié)構(gòu) ( 2) 安全數(shù)據(jù)流 有兩種 安全數(shù)據(jù)流方案: 1) 模擬 模擬方案依賴于 IIS身份驗(yàn)證和 Microsoft Windows 文件訪問安全性 ,以最大限度地減少 應(yīng)用程序本身在安全性方面的編程量 。 數(shù)據(jù)流如下圖所示: ( 2) 安全數(shù)據(jù)流 2) 驗(yàn)證 在 Forms 身份驗(yàn)證方案中,應(yīng)用程序直接從用戶那里收集名字和密碼等憑據(jù),并自己判斷這些信息的真實(shí)性。應(yīng)用程序不使用 IIS 身份驗(yàn)證,但 IIS 身份驗(yàn)證設(shè)置可以影響 Forms 身份驗(yàn)證。 作為一項(xiàng)原則,當(dāng)使用 Forms 身份驗(yàn)證時(shí),需要在 IIS 中啟用匿名訪問。否則,如果用戶未通過 IIS 身份驗(yàn)證,他們甚至無法訪問應(yīng)用程序,以便向 Forms 身份驗(yàn)證提供用戶名和密碼。 ( 2) 安全數(shù)據(jù)流 ( 2) 安全數(shù)據(jù)流 ( 3) 身份驗(yàn)證 1) Windows 身份驗(yàn)證提供程序 ? 在 應(yīng)用程序中 , Windows 身份驗(yàn)證將IIS所提供的用戶標(biāo)識視為已經(jīng)過身份驗(yàn)證的用戶 。 ? IIS 提供了大量用于驗(yàn)證用戶標(biāo)識的身份驗(yàn)證機(jī)制 , 其中包括匿名身份驗(yàn)證 、 Windows 集成的NTLM身份驗(yàn)證 、 Windows 集成的 Kerberos身份驗(yàn)證 、 基本 Base64 編碼身份驗(yàn)證 、 摘要式身份驗(yàn)證以及基于客戶端證書的身份驗(yàn)證 。 1) Windows 身份驗(yàn)證提供程序 ? 在 , 使用 WindowsAuthentication Module 模塊來實(shí)現(xiàn) Windows 身份驗(yàn)證 。 ? 該 模 塊 根 據(jù) IIS 所 提 供 的 憑 據(jù) 構(gòu) 造 一 個 WindowsIdentity, 并將該標(biāo)識設(shè)置為該應(yīng)用程序的當(dāng)前 User 屬性值 。 ? Windows 身份驗(yàn)證是 應(yīng)用程序的默認(rèn)身份驗(yàn)證機(jī)制 , 并指定作為使用 authentication 配置元素的應(yīng)用程序的身份驗(yàn)證模式 。 ? 通過 Forms 身份驗(yàn)證 , 可以使用所創(chuàng)建的登錄窗體驗(yàn)證用戶的用戶名和密碼 。 ? 未經(jīng)過身份驗(yàn)證的請求被重定向到登錄頁 ,用戶在該頁上提供憑據(jù)和提交窗體 。 ? 如果應(yīng)用程序?qū)φ埱筮M(jìn)行了驗(yàn)證 , 系統(tǒng)會頒發(fā)一個票證 , 該票證包含用于重建后續(xù)請求的標(biāo)識的密鑰 。 2) Forms 身份驗(yàn)證提供程序 3) Passport 身份驗(yàn)證提供程序 ? Passport 身份驗(yàn)證是由 Microsoft 提供的集中身份驗(yàn)證服務(wù) , 該服務(wù)為成員站點(diǎn)提供單一登錄和核心配置文件服務(wù) 。 ? Passport之所以讓用戶受益匪淺 , 原因在于用戶不必登錄訪問受到限制的新資源或站點(diǎn) 。 如果希望站點(diǎn)與 Passport身份驗(yàn)證及授權(quán)兼容 ,則應(yīng)該使用該提供程序 。 ? Passport 是基于 Cookie 的身份驗(yàn)證服務(wù),使用“三重 DES”加密方案。當(dāng)成員站點(diǎn)注冊到 Passport 服務(wù)時(shí),將被授予站點(diǎn)特定的密鑰。 Passport 登錄服務(wù)器使用該密鑰對站點(diǎn)間傳遞的查詢字符串進(jìn)行加密和解密。 授權(quán)決定了是否應(yīng)授予某個標(biāo)識對特定資源的訪問權(quán)限 。在 中 , 有兩種方式來授予對給定資源的訪問權(quán)限: 1) 文件授權(quán) 。 文件授權(quán)由 FileAuthorizationModule 執(zhí)行 。 它檢查 .aspx 或 .asmx 處理程序文件的訪問控制列表 (ACL), 以確定用戶是否應(yīng)該具有對文件的訪問權(quán)限 。ACL 權(quán)限用于驗(yàn)證用戶的 Windows 標(biāo)識 ( 如果已啟用 Windows 身份驗(yàn)證 ) 或 進(jìn)程的 Windows 標(biāo)識 。 2) URL 授權(quán) 。 URL 授權(quán)由 UrlAuthorizationModule 執(zhí)行 , 它將用戶和角色映射到 應(yīng)用程序中的 URL。這個模塊可用于有選擇地允許或拒絕特定用戶或角色對應(yīng)用程序的任意部分 ( 通常為目錄 ) 的訪問權(quán)限 。 ( 4) 授權(quán) ? 使用模擬時(shí) , 應(yīng)用程序可以用發(fā)出請求的用戶的 Windows 標(biāo)識 ( 用戶帳戶 ) 執(zhí)行 。 模擬通常用于依賴 Inter 信息服務(wù) (IIS) 來對用戶進(jìn)行身份驗(yàn)證的應(yīng)用程序 。 ? 默認(rèn)情況下禁用 模擬 。 如果對某 應(yīng)用程序啟用了模擬 , 該應(yīng)用程序?qū)⑦\(yùn)行在標(biāo)識上下文中 , 其訪問標(biāo)記被 IIS 傳遞給 。 該標(biāo)記既可以是已通過身份驗(yàn)證的用戶標(biāo)記 ( 如已登錄的 Windows 用戶的標(biāo)記 ) , 也可以是 IIS 為匿名用戶提供的標(biāo)記 ( 通常為 IUSR_MACHINENAME 標(biāo)識 ) 。 ( 5) 模擬 ( 5) 模擬 ? 當(dāng)啟用模擬時(shí) , 只有應(yīng)用程序代碼運(yùn)行在被模擬的用戶的上下文中 。 ? 將使用 進(jìn)程的標(biāo)識編譯應(yīng)用程序和加載配置信息 。 編譯的應(yīng)用程序?qū)⒎旁? Temporary files 目錄中 。 所模擬的應(yīng)用程序標(biāo)識需要對該目錄的讀 /寫訪問權(quán)限 。 所模擬的應(yīng)用程序標(biāo)識還需要至少對應(yīng)用程序目錄和子目錄中的文件的讀訪問權(quán)限 。 演講完畢,謝謝觀看!
點(diǎn)擊復(fù)制文檔內(nèi)容
教學(xué)課件相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖鄂ICP備17016276號-1