【正文】 Inter的脆弱性 Web的安全性概述 主要體現在下列幾個方面 :n 黑客入侵：或竊取機密數據和盜用特權，或破壞重要數據，或使系統功能得不到充分發(fā)揮直至癱瘓。n TCP/IP通信協議： TCP/IP通信協議缺乏使傳輸過程中的信息不被竊取的安全措施；n Unix操作： Unix操作中明顯存在的安全脆弱性問題會直接影響安全服務；n 電子信息：在計算機上存儲、傳輸和處理電子信息，存在安全隱患；n 電子郵件：存在著被拆、誤投和偽造的可能性，使用電子郵件傳輸重要的機密信息存在著很大的危險。n 計算機病毒：通過 Inter傳播，給用戶帶來極大的危害，也給安全防范帶來困難。n Web的安全問題服務器向公眾提供了不應該提供的服務，導致存在安全隱患。服務器把本應私有的數據放到了公開訪問的區(qū)域，導致敏感信息泄露。服務器信賴了來自不可信賴數據源的數據，導致受到攻擊。n Web服務器的作用 Web服務器的安全性 n Web服務器存在的漏洞CGI漏洞條件競爭SQL注入拒絕服務緩沖區(qū)溢出執(zhí)行任意命令目錄遍歷物理路徑 泄露存在的漏洞n IIS安全 IIS（ Inter Information Server）即互聯網信息服務，是由 微軟公司 提供的基于運行 Microsoft Windows的 互聯網 基本服務。因其方便性和易用性，成為最受歡迎的 Web服務器軟件之一。 通過正確的安裝和合理的設置，還是可以很好的保證 IIS的安全性的 但其從誕生起，其安全性就一直備受置疑，原因在于其經常被發(fā)現有新的安全漏洞。 IIS安裝時需要注意的問題IIS的安裝注意事項不要安裝在系統分區(qū)上修改默認安裝路徑打上 Windows和 IIS的補丁 IIS的安全配置IIS的安全配置刪除不必要的虛擬目錄刪除危險的 IIS組件刪除不必要的應用程序映射為 IIS文件設置權限保護系統日志n CGI程序的安全性 腳本語言的安全性 n CGI（ Commom Gate Interface） 是外部應用程序與Web服務器交互的一個標準接口。 CGI應用程序可以完成客戶端與服務器的交互操作。幾乎所有的 CGI漏洞均來自與用戶的交互，這種交互性在給主頁帶來活力的同時，成為 Web服務器的一個潛在危險。具有破壞性的數據可以從多種渠道進入 Web服務器，客戶端可以設計自己的數據錄入方式，數據內容，然后調用服務器端的 CGI程序n 用戶在編寫 CGI程序時應該使其具有：數據長度檢查功能和異常情況自動檢測功能等。n ASP的安全性n ASP（ Active Server Page）動態(tài)服務器網頁，其實質是運行于服務器端的腳本（ SCRIPT）。 n 黑客可以通過特殊的工具利用 ASP存在的漏洞獲得管理員的密碼；還可以通過 ASP 網站架設的論壇實行攻擊。 ASP訪問 Web數據庫的工作原理如下 ASP標準組件可以對服務器上的任何文件進行讀、寫、復制、刪除、改名等操作，同時也存在潛在的危險性。通過下圖所示，修改注冊表的方式，便可在不禁用該組件的情況下，保障服務器的安全性。n 瀏覽器本身的漏洞 Web瀏覽器的安全性 已知的幾個瀏覽器的安全漏洞：n 搜狗瀏覽器： “緩沖區(qū)溢出 ”漏洞；n ： “0day”漏洞 。n 360瀏覽器： “緩沖區(qū)溢出 ”漏洞；n 火狐瀏覽器：被攻擊者遠程控制的漏洞。n ActiveX的安全性 ActiveX 控件的概念： ActiveX控件由三大要素組成：屬性、方法、事件。 n 屬性：描述控件的特征信息。 n 方法：是控件提供給外界的接口， ActiveX控件是通過開放函數名稱及參數，為用戶使用控件提供便利。 n 事件：是控件響應用戶控制、執(zhí)行相應方法的觸發(fā)條件，如鼠標單擊、雙擊、懸浮等。 ActiveX 控件的安全問題： 　 ActiveX控件多由第三方開發(fā)，受開發(fā)者水平和安全意識等方面的影響，致使所提供的 ActiveX控件存在很大的安全隱患 。 n 導出函數可能具有隱蔽的邏輯功能 ；n 通過控件可以獲取本地私密信息 n 控件本身的一些函數在處理參數時由于未對參數長度進行檢查而導致字符串緩沖區(qū)溢出、整數溢出、格式化字符串漏洞導致瀏覽器或系統異常 n 一些惡意控件可以通過欺騙行為使用戶訪問惡意網頁、下載惡意程序等 ActiveX 控件漏洞的檢測與發(fā)現： 　 對于 ActiveX控件漏洞的檢測與發(fā)現，主要有兩種方式： 。 n 使用 Fuzz測試工具。 Fuzz測試是一種軟件測試技術，通常用來發(fā)現軟件或者協議存在的安全漏洞 ；n 人工分析方法。先通過控件解析器（如 ComRaider）解析出控件的方法和屬性，再根據每個方法的參數和返回值來手工構造測試用例，依次對各個屬性和方法進行邏輯覆蓋和基本路徑測試，根據頁面的返回結果，確定是否存在安全漏洞。 ActiveX控件漏洞的安全防范：ActiveX控件漏洞的安全防范使用特征安全的 ActiveX控件使用 ActiveX 控件前進行漏洞檢測 安裝補丁文件 使用安全軟件 瀏覽器中的安全設置 屏蔽所有非主動安裝的控件 n Cookie的安全性 Cookie指某些網站為了辨別用戶身份、進行Session跟蹤而儲存在用戶本地終端上的數據（通常經過加密）。n Cookie是由服務器端生成，發(fā)送給瀏覽器，瀏覽器將會把 Cookie的 key/value保存到某個目錄下的文本文件內，下次請求同一網站時就發(fā)送該 Cookie給服務器。n 盡管 Cookie沒有病毒那么危險，但它仍包含了一些敏感信息：用戶名，計算機名，使用的瀏覽器和曾經訪問的網站。 Cookie的安全設置 回到工作場景n 檢測瀏覽器的安全漏洞n 使用 ScanIT網站進行檢測 工作實訓營n 實訓實例n 如何通過一些簡單設置解除瀏覽器的安全隱患問題？n 如何使用 PRTG進行流量監(jiān)控？ n 使用 Sniffer進行捕包分析。n 工作實踐常見問題解析n DNS服務器的問題。n 網絡協議和網卡驅動的問題 THE ENDTHANK YOU n 靜夜四無鄰，荒居舊業(yè)貧。 一月 21一月 21Thursday, January 28, 2023n 雨中黃葉樹，燈下白頭人。 13:02:0713:02:0713:021/28/2023 1:02:07 PMn 1以我獨沈久，愧君相見頻。 一月 2113:02:0713:02Jan2128Jan21n 1故人江海別，幾度隔山川。 13:02:0713:02:0713:02Thursday, January 28, 2023n 1乍見翻疑夢，相悲各問年。 一月 21一月 2113:02:0713:02:07January 28, 2023n 1他鄉(xiāng)生白發(fā)，舊國見青山。 28 一月 20231:02:07 下午 13:02:07一月 21n 1比不了得就不比，得不到的就不要。 。 一月 211:02 下午 一月 2113:02January 28, 2023n 1行動出成果，工作出財富。 2023/1/28 13:02:0713:02:0728 January 2023n 1做前，能夠環(huán)視四周；做時，你只能或者最好沿著以腳為起點的射線向前。 1:02:07 下午 1:02 下午 13:02:07一月 21n 沒有失敗，只有暫時停止成功！。 一月 21一月 21Thursday, January 28, 2023n 很多事情努力了未必有結果，但是不努力卻什么改變也沒有。 13:02:0713:02:0713:021/28/2023 1:02:07 PMn 1成功就是日復一日那一點點小小努力的積累。 一月 2113:02:0713:02Jan2128Jan21n 1世間成事，不求其絕對圓滿，留一份不足，可得無限完美。 13:02:0713:02:0713:02Thursday, January 28, 2023n 1不知香積寺，數里入云峰。 一月 21一月 2113:02:0713:02:07January 28, 2023n 1意志堅強的人能把世界放在手中像泥塊一樣任意揉捏。 28 一月 20231:02:07 下午 13:02:07一月 21n 1楚塞三湘接，荊門九派通。 。 一月 211:02 下午 一月 2113:02January 28, 2023n 1少年十五二十時，步行奪得胡馬騎。 2023/1/28 13:02:0713:02:0728 January 2023n 1空山新雨后，天氣晚來秋。 1:02:07 下午 1:02 下午 13:02:07一月 21n 楊柳散和風，青山澹吾慮。 一月 21一月 21Thursday, January 28, 2023n 閱讀一切好書如同和過去最杰出的人談話。 13:02:0713:02:0713:021/28/2023 1:02:07 PMn 1越是沒有本領的就越加自命不凡。 一月 2113:02:0713:02Jan2128Jan21n 1越是無能的人，越喜歡挑剔別人的錯兒。 13:02:0713:02:0713:02Thursday, January 28, 2023n 1知人者智，自知者明。勝人者有力，自勝者強。 一月 21一月 2113:02:0713:02:07January 28, 2023n 1意志堅強的人能把世界放在手中像泥塊一樣任意揉捏。 28 一月 20231:02:07 下午 13:02:07一月 21n 1最具挑戰(zhàn)性的挑戰(zhàn)莫過于提升自我。 一月 211:02 下午 一月 2113:02January 28, 2023n 1業(yè)余生活要有意義，不要越軌。 2023/1/28 13:02:0713:02:0728 January 2023n 1一個人即使已登上頂峰，也仍要自強不息。 1:02:07 下午 1:02 下午 13:02:07一月 21MOMODA POWERPOINTLorem ipsum dolor sit amet, consectetur adipiscing elit. Fusce id urna blandit, eleifend nulla ac, fringilla purus. Nulla iaculis tempor felis ut cursus. 感謝您的下載觀看專家告訴