【正文】 Inter的脆弱性 Web的安全性概述 主要體現(xiàn)在下列幾個(gè)方面 :n 黑客入侵：或竊取機(jī)密數(shù)據(jù)和盜用特權(quán)，或破壞重要數(shù)據(jù)，或使系統(tǒng)功能得不到充分發(fā)揮直至癱瘓。n TCP/IP通信協(xié)議： TCP/IP通信協(xié)議缺乏使傳輸過(guò)程中的信息不被竊取的安全措施；n Unix操作： Unix操作中明顯存在的安全脆弱性問(wèn)題會(huì)直接影響安全服務(wù)；n 電子信息：在計(jì)算機(jī)上存儲(chǔ)、傳輸和處理電子信息，存在安全隱患；n 電子郵件：存在著被拆、誤投和偽造的可能性，使用電子郵件傳輸重要的機(jī)密信息存在著很大的危險(xiǎn)。n 計(jì)算機(jī)病毒：通過(guò) Inter傳播，給用戶帶來(lái)極大的危害，也給安全防范帶來(lái)困難。n Web的安全問(wèn)題服務(wù)器向公眾提供了不應(yīng)該提供的服務(wù)，導(dǎo)致存在安全隱患。服務(wù)器把本應(yīng)私有的數(shù)據(jù)放到了公開訪問(wèn)的區(qū)域，導(dǎo)致敏感信息泄露。服務(wù)器信賴了來(lái)自不可信賴數(shù)據(jù)源的數(shù)據(jù)，導(dǎo)致受到攻擊。n Web服務(wù)器的作用 Web服務(wù)器的安全性 n Web服務(wù)器存在的漏洞CGI漏洞條件競(jìng)爭(zhēng)SQL注入拒絕服務(wù)緩沖區(qū)溢出執(zhí)行任意命令目錄遍歷物理路徑 泄露存在的漏洞n IIS安全 IIS（ Inter Information Server）即互聯(lián)網(wǎng)信息服務(wù)，是由 微軟公司 提供的基于運(yùn)行 Microsoft Windows的 互聯(lián)網(wǎng) 基本服務(wù)。因其方便性和易用性，成為最受歡迎的 Web服務(wù)器軟件之一。 通過(guò)正確的安裝和合理的設(shè)置，還是可以很好的保證 IIS的安全性的 但其從誕生起，其安全性就一直備受置疑，原因在于其經(jīng)常被發(fā)現(xiàn)有新的安全漏洞。 IIS安裝時(shí)需要注意的問(wèn)題IIS的安裝注意事項(xiàng)不要安裝在系統(tǒng)分區(qū)上修改默認(rèn)安裝路徑打上 Windows和 IIS的補(bǔ)丁 IIS的安全配置IIS的安全配置刪除不必要的虛擬目錄刪除危險(xiǎn)的 IIS組件刪除不必要的應(yīng)用程序映射為 IIS文件設(shè)置權(quán)限保護(hù)系統(tǒng)日志n CGI程序的安全性 腳本語(yǔ)言的安全性 n CGI（ Commom Gate Interface） 是外部應(yīng)用程序與Web服務(wù)器交互的一個(gè)標(biāo)準(zhǔn)接口。 CGI應(yīng)用程序可以完成客戶端與服務(wù)器的交互操作。幾乎所有的 CGI漏洞均來(lái)自與用戶的交互，這種交互性在給主頁(yè)帶來(lái)活力的同時(shí)，成為 Web服務(wù)器的一個(gè)潛在危險(xiǎn)。具有破壞性的數(shù)據(jù)可以從多種渠道進(jìn)入 Web服務(wù)器，客戶端可以設(shè)計(jì)自己的數(shù)據(jù)錄入方式，數(shù)據(jù)內(nèi)容，然后調(diào)用服務(wù)器端的 CGI程序n 用戶在編寫 CGI程序時(shí)應(yīng)該使其具有：數(shù)據(jù)長(zhǎng)度檢查功能和異常情況自動(dòng)檢測(cè)功能等。n ASP的安全性n ASP（ Active Server Page）動(dòng)態(tài)服務(wù)器網(wǎng)頁(yè)，其實(shí)質(zhì)是運(yùn)行于服務(wù)器端的腳本（ SCRIPT）。 n 黑客可以通過(guò)特殊的工具利用 ASP存在的漏洞獲得管理員的密碼；還可以通過(guò) ASP 網(wǎng)站架設(shè)的論壇實(shí)行攻擊。 ASP訪問(wèn) Web數(shù)據(jù)庫(kù)的工作原理如下 ASP標(biāo)準(zhǔn)組件可以對(duì)服務(wù)器上的任何文件進(jìn)行讀、寫、復(fù)制、刪除、改名等操作，同時(shí)也存在潛在的危險(xiǎn)性。通過(guò)下圖所示，修改注冊(cè)表的方式，便可在不禁用該組件的情況下，保障服務(wù)器的安全性。n 瀏覽器本身的漏洞 Web瀏覽器的安全性 已知的幾個(gè)瀏覽器的安全漏洞：n 搜狗瀏覽器： “緩沖區(qū)溢出 ”漏洞；n ： “0day”漏洞 。n 360瀏覽器： “緩沖區(qū)溢出 ”漏洞；n 火狐瀏覽器：被攻擊者遠(yuǎn)程控制的漏洞。n ActiveX的安全性 ActiveX 控件的概念： ActiveX控件由三大要素組成：屬性、方法、事件。 n 屬性：描述控件的特征信息。 n 方法：是控件提供給外界的接口， ActiveX控件是通過(guò)開放函數(shù)名稱及參數(shù)，為用戶使用控件提供便利。 n 事件：是控件響應(yīng)用戶控制、執(zhí)行相應(yīng)方法的觸發(fā)條件，如鼠標(biāo)單擊、雙擊、懸浮等。 ActiveX 控件的安全問(wèn)題： 　 ActiveX控件多由第三方開發(fā)，受開發(fā)者水平和安全意識(shí)等方面的影響，致使所提供的 ActiveX控件存在很大的安全隱患 。 n 導(dǎo)出函數(shù)可能具有隱蔽的邏輯功能 ；n 通過(guò)控件可以獲取本地私密信息 n 控件本身的一些函數(shù)在處理參數(shù)時(shí)由于未對(duì)參數(shù)長(zhǎng)度進(jìn)行檢查而導(dǎo)致字符串緩沖區(qū)溢出、整數(shù)溢出、格式化字符串漏洞導(dǎo)致瀏覽器或系統(tǒng)異常 n 一些惡意控件可以通過(guò)欺騙行為使用戶訪問(wèn)惡意網(wǎng)頁(yè)、下載惡意程序等 ActiveX 控件漏洞的檢測(cè)與發(fā)現(xiàn)： 　 對(duì)于 ActiveX控件漏洞的檢測(cè)與發(fā)現(xiàn)，主要有兩種方式： 。 n 使用 Fuzz測(cè)試工具。 Fuzz測(cè)試是一種軟件測(cè)試技術(shù)，通常用來(lái)發(fā)現(xiàn)軟件或者協(xié)議存在的安全漏洞 ；n 人工分析方法。先通過(guò)控件解析器（如 ComRaider）解析出控件的方法和屬性，再根據(jù)每個(gè)方法的參數(shù)和返回值來(lái)手工構(gòu)造測(cè)試用例，依次對(duì)各個(gè)屬性和方法進(jìn)行邏輯覆蓋和基本路徑測(cè)試，根據(jù)頁(yè)面的返回結(jié)果，確定是否存在安全漏洞。 ActiveX控件漏洞的安全防范：ActiveX控件漏洞的安全防范使用特征安全的 ActiveX控件使用 ActiveX 控件前進(jìn)行漏洞檢測(cè) 安裝補(bǔ)丁文件 使用安全軟件 瀏覽器中的安全設(shè)置 屏蔽所有非主動(dòng)安裝的控件 n Cookie的安全性 Cookie指某些網(wǎng)站為了辨別用戶身份、進(jìn)行Session跟蹤而儲(chǔ)存在用戶本地終端上的數(shù)據(jù)（通常經(jīng)過(guò)加密）。n Cookie是由服務(wù)器端生成，發(fā)送給瀏覽器，瀏覽器將會(huì)把 Cookie的 key/value保存到某個(gè)目錄下的文本文件內(nèi)，下次請(qǐng)求同一網(wǎng)站時(shí)就發(fā)送該 Cookie給服務(wù)器。n 盡管 Cookie沒(méi)有病毒那么危險(xiǎn)，但它仍包含了一些敏感信息：用戶名，計(jì)算機(jī)名，使用的瀏覽器和曾經(jīng)訪問(wèn)的網(wǎng)站。 Cookie的安全設(shè)置 回到工作場(chǎng)景n 檢測(cè)瀏覽器的安全漏洞n 使用 ScanIT網(wǎng)站進(jìn)行檢測(cè) 工作實(shí)訓(xùn)營(yíng)n 實(shí)訓(xùn)實(shí)例n 如何通過(guò)一些簡(jiǎn)單設(shè)置解除瀏覽器的安全隱患問(wèn)題？n 如何使用 PRTG進(jìn)行流量監(jiān)控？ n 使用 Sniffer進(jìn)行捕包分析。n 工作實(shí)踐常見問(wèn)題解析n DNS服務(wù)器的問(wèn)題。n 網(wǎng)絡(luò)協(xié)議和網(wǎng)卡驅(qū)動(dòng)的問(wèn)題 THE ENDTHANK YOU n 靜夜四無(wú)鄰，荒居舊業(yè)貧。 一月 21一月 21Thursday, January 28, 2023n 雨中黃葉樹，燈下白頭人。 13:02:0713:02:0713:021/28/2023 1:02:07 PMn 1以我獨(dú)沈久，愧君相見頻。 一月 2113:02:0713:02Jan2128Jan21n 1故人江海別，幾度隔山川。 13:02:0713:02:0713:02Thursday, January 28, 2023n 1乍見翻疑夢(mèng)，相悲各問(wèn)年。 一月 21一月 2113:02:0713:02:07January 28, 2023n 1他鄉(xiāng)生白發(fā)，舊國(guó)見青山。 28 一月 20231:02:07 下午 13:02:07一月 21n 1比不了得就不比，得不到的就不要。 。 一月 211:02 下午 一月 2113:02January 28, 2023n 1行動(dòng)出成果，工作出財(cái)富。 2023/1/28 13:02:0713:02:0728 January 2023n 1做前，能夠環(huán)視四周；做時(shí)，你只能或者最好沿著以腳為起點(diǎn)的射線向前。 1:02:07 下午 1:02 下午 13:02:07一月 21n 沒(méi)有失敗，只有暫時(shí)停止成功！。 一月 21一月 21Thursday, January 28, 2023n 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒(méi)有。 13:02:0713:02:0713:021/28/2023 1:02:07 PMn 1成功就是日復(fù)一日那一點(diǎn)點(diǎn)小小努力的積累。 一月 2113:02:0713:02Jan2128Jan21n 1世間成事，不求其絕對(duì)圓滿，留一份不足，可得無(wú)限完美。 13:02:0713:02:0713:02Thursday, January 28, 2023n 1不知香積寺，數(shù)里入云峰。 一月 21一月 2113:02:0713:02:07January 28, 2023n 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 28 一月 20231:02:07 下午 13:02:07一月 21n 1楚塞三湘接，荊門九派通。 。 一月 211:02 下午 一月 2113:02January 28, 2023n 1少年十五二十時(shí)，步行奪得胡馬騎。 2023/1/28 13:02:0713:02:0728 January 2023n 1空山新雨后，天氣晚來(lái)秋。 1:02:07 下午 1:02 下午 13:02:07一月 21n 楊柳散和風(fēng)，青山澹吾慮。 一月 21一月 21Thursday, January 28, 2023n 閱讀一切好書如同和過(guò)去最杰出的人談話。 13:02:0713:02:0713:021/28/2023 1:02:07 PMn 1越是沒(méi)有本領(lǐng)的就越加自命不凡。 一月 2113:02:0713:02Jan2128Jan21n 1越是無(wú)能的人，越喜歡挑剔別人的錯(cuò)兒。 13:02:0713:02:0713:02Thursday, January 28, 2023n 1知人者智，自知者明。勝人者有力，自勝者強(qiáng)。 一月 21一月 2113:02:0713:02:07January 28, 2023n 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 28 一月 20231:02:07 下午 13:02:07一月 21n 1最具挑戰(zhàn)性的挑戰(zhàn)莫過(guò)于提升自我。 一月 211:02 下午 一月 2113:02January 28, 2023n 1業(yè)余生活要有意義，不要越軌。 2023/1/28 13:02:0713:02:0728 January 2023n 1一個(gè)人即使已登上頂峰，也仍要自強(qiáng)不息。 1:02:07 下午 1:02 下午 13:02:07一月 21MOMODA POWERPOINTLorem ipsum dolor sit amet, consectetur adipiscing elit. Fusce id urna blandit, eleifend nulla ac, fringilla purus. Nulla iaculis tempor felis ut cursus. 感謝您的下載觀看專家告訴