|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
ASP.NET和ASP的比较,技术上比较已经没什么可说的了.新一代在大部分程度来说当然是比旧一代好了.关键看你对所做软件的理解了.因人而定.会写的话也可能比ASP.NET写得更有效率和更方便重用web|平安在某种水平上我们能够说,没有Web,就没有Internet。但是在年夜部分情形下,Web使用程序及Web站点常常易蒙受到林林总总的打击,Web数据在收集传输过程当中也很简单被夺取或盗用。因而怎样可以使Web及数据传输加倍平安,是一个应当引发普遍注重地成绩。
从整体情形来看,回护Web站点免受打击的最主要的措施就是增强平安认识和进步平安提防措施。
一样平常情形下,打击者打击Web的次要目标在于:
1、不法窃看;
2、假装成Web站点的正当会见者;
3、假装成Web站点办理员;
4、试图把持Web站点主机。
1、不法窃看
制止Web打击者监听举动的最无效办法就是要对Web站点和会见者之间所创建的毗连举行无效加密。几近一切的Web扫瞄器和服务器都具有发送和吸收加密通道上的数据的才能,这些加密数据被SSL和TLS这两个相干的协定办理。个中SSL由Netscape发生,TLS与SSL3.0兼容。是微软公司的IE5.0扫瞄器软件中的Internet选项,它显现了有关平安成绩的协定。
IE5.0撑持的各类加密协定
Web扫瞄器在毗连一样平常的WEB站点一般利用的是HTTP(超文本传输协定),地点栏中URL一样平常情势为http://www.somewhere.com。而当Web扫瞄器毗连到一个平安站点时,扫瞄器将利用HTTPS(超文本平安传输协定)来创建一个加密毗连,地点栏中的URL一般的情势为https://www.somewhere.com
为了创建一个平安毗连,Web扫瞄器必要起首向Web服务器哀求数字证书,数字证书供应了身份证实。扫瞄器在向Web服务器哀求它的数字证书时,也同时发送了它所撑持的加密算法列表。当服务器回送数字证书和它所选择的加密算法后,扫瞄器经由过程反省数字署名和确认URL是不是与数字证实的私有名字域相婚配来考证数字证书。如过这些测试失利,扫瞄器将显现告诫信息。如所示。
Web服务器对HTTPS的判定
扫瞄器和服务器的通信利用对称加密。这就意味着利用不异的密钥来举行加密息争密。当服务器的证书被证明后,扫瞄器将发生一个密钥,这个密钥必要经由过程一个平安的路子传送给服务器。一样平常利用两重加密术来完成密钥的传送。扫瞄器利用服务器的公钥来加密密钥,然后把它传送给服务器。服务器利用它的私钥来解密密钥然后向扫瞄器发送确认。
下面的历程标明的就是一个加密毗连,扫瞄器和服务器都具有不异的密钥,他们利用不异的加密算法。他们前面的通讯将利用这个加密的毗连。扫瞄器显现一个黄色的锁的图标暗示毗连已创建。如所示,站点会见者能够点击黄色的图标来反省服务器的证书,从而核实服务器的身份。
创建一个加密毗连,仅必要服务器取得威望机构(如VeriSign)发表的证书。可是加密仅能制止打击者看到站点发送
和吸收的数据,它其实不能制止打击者假造身份和对站点举行的歹意打击。
2、假装成Web站点的正当会见者
如今我们已晓得怎样判别一个Web站点,可是一个站点怎样判别它的会见者呢?上面我们就接着会商这个成绩。
年夜部分Web服务器撑持两个暗码判别计划:基础暗码判别和分类暗码判别。两个计划都经由过程向扫瞄器发送判别旌旗灯号来进
行。当扫瞄器第一次收到判别旌旗灯号时,它显现一个对话框扣问用户的名字和暗码。在基础判别形式中,扫瞄器以复杂的文
本情势来传送用户名和暗码。在分类判别形式中,扫瞄器传送用户名和暗码的动静类。假如服务器发送它的证明,扫瞄器
就把登录信息存储起来。
假如你用Web服务器上的复杂设置来完成这些判定计划,Web使用程序中不必要增加任何代码。
打击者的监听成绩:假如会见者以复杂的文本情势发送他的用户名和暗码,打击者很简单便可捕捉到这些信息。传送
用户信息利用SSL能够很简单地办理这个成绩。以下面的例子所示。
UserID:<inputtype="text"name="user">
Password:<inputtype="password"name="password">
假如打击者不克不及监听Web站点和会见者之间的通讯,他将要接纳加倍卑鄙的手腕――假装成你的正当会见者。形成这类
情形呈现的缘故原由通常为会见者本人酿成的,由于年夜部分收集用户在暗码拔取上不是很把稳,他们的暗码一样平常都不是很安
全。他们在登录各个站点时,喜好利用不异的用户名和暗码。
办理这个成绩的办法就是会见者在注册帐号时要利用平安的暗码。Web站点最好具有能制止会见者设置英文单词作为密
码的功效,它能够倡议用户利用数字和字母夹杂而成的暗码。
3、假装成Web站点办理员
当会见者登录到你的站点时,你将会坚持他们的身份一向无效,直到他们分开该站点。那末怎样完成这个功效呢?因
为在扫瞄器和服务器之间不会创建一个永世的毗连,以是服务器会在收到每一个页面哀求后只创建一个独自的毗连。
用户登录乐成后服务器是怎样证明该用户的身份呢?
谜底是扫瞄器保留了用户的姓名和暗码。当扫瞄器和服务器再次毗连时,扫瞄器将传送已存储过的用户名和暗码。
服务器使用用户数据库来证明这些信息,并会在此基本上作出同意和回绝会见的决意。
后面我们提到过,扫瞄器经由过程对照带有服务器的数字证书的私有名字的URL来证明服务器的身份。这是一个很好的Web
平安提防措施。可是它不克不及制止一切的假装服务器的打击。
域名服务体系(DNS)可把易读的网址(比方www.yourunit.com)剖析为IP地点,在你的平安链接中它是一个易蒙受攻
击的链接。假如打击者会见了一个DNS服务器,而且修正了指向他的呆板的纪录,那末这个呆板就能够把一切来自
www.yourunit.com站点的哀求全体重定向到www.attacker.com.。在重定向中,会见者的扫瞄器将显现默许的地点后缀。如
果字符串很长,使www.attacker.com不在视野以内,年夜部分会见者都不会注重到。
假如打击者失掉VeriSign为www.attacker.com发表的数字证书,那末会见者的扫瞄器将和www.attacker.com创建正当
的毗连。假如会见者不反省数字证书,他不会晓得本人在一个黑客站点上。假如打击者把他的站点假装成为和
www.attacker.com的登录界面一样的话,他就可以捕捉到该客户的银行信誉卡帐号。
4、试图把持Web站点主机
一些打击使用web服务器上运转的软件的毛病来让服务器实行打击者的代码。一类臭名远扬的打击办法就是向缓存写进大批的数据从而使缓存器溃散。上面所摘录的一段C++代码就很简单遭到如许的打击,由于它没有界限反省。
voidByYourCommand(char*pszData)
{charszBuffer[255];
strcpy(szBuffer,pszData);...}
假如实行strcpy()历程使仓库溢出,将会发生甚么了局呢?向你展现了体系仓库溢出后的情形。假如打击者在缓存中写进了太多的数据,它将掩盖函数挪用纪录。这是一个数据布局,它包括了保留函数出口代码的存放器,另有函数的前往地点。假如打击者的代码掩盖了函数的前往地点,打击者就能够在你的盘算机上实行任何代码。
经由过程使缓存溢出,打击者把打击代码加载到内存,
取代函数的前往地点,从而实行打击代码
打击者是怎样把他的打击代码移植到你的电脑上的呢?他利用的办法就是把代码写进数据缓存,传送这个例子函数的字符串很简单传染上“特洛伊木马”如许的黑客程序。有很多文章已先容过这类的打击体例。
黑客晓得易打击的函数(比方下面所举的函数例子)一般易被回使用户输出的代码所挪用。打击者发送一个不成能的长字符串给服务器。假如缓存溢出,处置他的哀求的线程将溃散。打击者失掉HTTP超时的动静提醒就标明哀求线程已被损坏。
怎样制止你Web站点的使用程序被使用呢?起首,给体系软件增加最新的平安补钉。然后,反省利用同意间接会见内存的言语(比方:C、C++和Delphi)编写的程序代码,看是不是有平安毛病。
反省代码能够给你无尽的信念,由于你能够发明一个使用程序并非很简单就遭到缓存溢出如许的打击的。假如你要完整制止如许的成绩,只能不利用间接会见内存的言语来编写代码。你可使用一些剧本言语(比方:JavaScript、Perl)或利用注释性的言语(比方Java)。假如利用平安的言语来编写代码,Web站点的操纵员就能够被束缚出来,不必每天忧虑缓存溢出如许的平安打击。
别的,你也不要自觉地信任各类平安手艺,厂商固然为了倾销本人的产物而做出了很好的平安质量答应,可是你要晓得没有任何手艺可以包管你的Web不蒙受打击。以是你必要必定的工夫和精神往研讨和发明Web的弱点,然后找出办理成绩的办法。
Web的平安性成绩十分庞大,局限很广,在本文中,我们只是从内部的打击角度动身,会商了怎样制止Web使用程序和Web数据遭到损坏和夺取,来避免不法用户对Web使用程序的越权会见,进步Web站点的平安性。
asp,jsp,php是web开发的三大技术,asp简单易用且有microsoft做靠山,jsp功能强大是因为有java支持,php则开源跨平台.在国内,asp应用范围最广,jsp发展势头最猛,php则处于劣势.这可能与公司的支持以及技术的培训有关. |
|
|Archiver|手机版|仓酷云
鄂ICP备14007578号-2
发表于 2015-1-16 22:54:12
收藏
转播
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜