我国的互联网发展已经进入第二个十年,如今基于互联网的Web应用传播很快,无处不在,呈现在我们面前的网站不计其数,随之而来的安全问题也日益突出,Web站点被黑客入侵的事件屡有发生,这对我们生活工作造成一定的困扰。Web安全问题已引起人们的极大重视。
1.2 国内外研究状况
目前和相当长的一段时间内,国内外关于Web安全的研究主要是从制定安全的协议、系统平台的安全、网站程序的编程安全、开发安全的产品、Web服务器的安全控制等方面入手。在安全协议的制定方面,已经提出了大量实用的安全协议,最具有代表性的有:电子商务协议SET,IPSec协议,SSL/TLS协议,简单网络管理协议SNMP,PGP协议,PEM协议,S-HTTP协议,S/MIME协议等。这些协议的安全性分析特别是电子商务协议,IPSec协议和TLS协议是当前协议研究中的热点。
系统平台的安全方面主要研究操作系统的安全、数据库的安全等,以及现有常用系统(例如Windows、Unix、Linux)的安全配置;还有就是针对黑客常用的攻击手段制定安全策略。
网站程序的安全编程方面,主要研究规范化编程以及现有编程语言(ASP,ASP.NET,PHP,JSP等)的安全配置和发布增加功能与安全性的新版本。安全产品的研发方面,目前在市场上比较流行,且又能够代表未来发展方向的安全产品大致有以下几类:防火墙、安全路由器、虚拟专用网VPN、安全服务器、电子签证机构CA和PKI产品、用户认证产品、安全管理中心、入侵检测系统IDS、入侵防御系统IPS等;在上述所有主要的发展方向和产品种类上,都包含了密码技术的应用,并且是非常基础性的应用。 Web服务器的安全控制方面,主要研究时下流行的Apache、IIS的安全缺陷分析与安全配置,如Apache的访问控制机制、安全模块,IIS的安全锁定等。
1.3 课题开发环境与目标
本设计主要是基于Windows Server 2008环境下的Web安全研究,通过ASP.NET和SQL Server数据库创建一个网站模型,在设计网站的过程中研究操作系统本身、数据库、IIS以及ASP.NET架构存在的漏洞,并对这些漏洞给予修复,加强Web的安全性。
2 WEB安全研究概述
2.1 Web目前面临的安全问题
(1)端口漏洞。因为大部分基于万维网的应用都在公认的端口即用于HTTP的TCP80或用于HTTPS/SSL/TLS的TCP443上操作,而这些技术一般在确定了基本目标URL之后就不需要了。攻击者可能会使用一个常用的Web服务器端口列表对目标IP进行端口扫描,寻找运行于不常用的端口上的Web应用攻击主机,或通过种植木马、数据溢出的手段进攻主机,甚至利用某些软件设计的漏洞直接或间接控制主机。
(2)信息泄漏。攻击者非法访问和获取目标计算机(Web服务器或浏览器)上的敏感信息;或中途截获Web服务器和浏览器之间传输的敏感信息;或由于配置和软件bug等原因无意中泄露敏感信息。这些敏感信息包含账户的用户名和密码等,
(3)破坏系统。攻击者利用通信协议和主机系统中的安全弱点进入系统,篡改网站的重要数据,或破坏系统运行的重要文件来控制系统,使Web服务器或浏览器无法正常工作甚至崩溃。
(4)病毒入侵。由于不小心执行病毒程序或因各种原因使计算机感染上病毒,从而导致网站的数据遭到破坏、敏感信息被窃取,系统的各种性能下降,操作系统受到障碍,系统安全性降低。
2.2 制度上的完善
目前,对于Web来说来源于网络上的安全威胁和攻击各种各样,网站存在的三大威胁是服务器系统漏洞、网站程序设计的缺陷以及人们安全意识的薄弱。