科技文献检索论文.wps
《科技文献检索论文.wps》由会员分享,可在线阅读,更多相关《科技文献检索论文.wps(11页珍藏版)》请在冰点文库上搜索。
科技文献检索论文科技文献检索论文课程名称:
信息安全技术综述课程名称:
信息安全技术综述题目:
web服务器安全分析题目:
web服务器安全分析学院:
计算机科学与信息学院学院:
计算机科学与信息学院专业:
信息安全专业:
信息安全班级:
091班级:
091学号:
0908060456学号:
0908060456学生姓名:
xx学生姓名:
xx指导教师:
xxx指导教师:
xxx分数:
分数:
2012年12月13日2012年12月13日摘要摘要WEB服务器也称为WWW(WORLDWIDEWEB)服务器,主要功能是提供网上信息浏览服务。
WWW是Internet的多媒体信息查询工具,是Internet上近年才发展起来的服务,也是发展最快和目前用的最广泛的服务。
正是因为有了WWW工具,才使得近年来Internet迅速发展,且用户数量飞速增长。
web服务器含载的信息也越加重要,其资料往往涉及某些机密信息,所以,web服务器的安全也越加显得重要和必要。
一、一、Web服务器背景介绍服务器背景介绍Web服务器是指驻留于因特网上某种类型计算机的程序。
当Web浏览器(客户端)连到服务器上并请求文件时,服务器将处理该请求并将文件发送到该浏览器上,附带的信息会告诉浏览器如何查看该文件(即文件类型)。
服务器使用HTTP(超文本传输协议)进行信息交流,这就是人们常把它们称为HTTPD服务器的原因。
Web服务器不仅能够存储信息,还能在用户通过Web浏览器提供的信息的基础上运行脚本和程序。
WWW是WorldWideWeb(环球信息网)的缩写,也可以简称为Web,中文名字为“万维网”。
它起源于1989年3月,由欧洲量子物理实验室CERN(theEuropeanLaboratoryforParticlePhysics)所发展出来的主从结构分布式超媒体系统。
通过万维网,人们只要通过使用简单的方法,就可以很迅速方便地取得丰富的信息资料。
由于用户在通过Web浏览器访问信息资源的过程中,无需再关心一些技术性的细节,而且界面非常友好,因而Web在Internet上一推出就受到了热烈的欢迎,走红全球,并迅速得到了爆炸性的发展。
长期以来,人们只是通过传统的媒体(如电视、报纸、杂志和广播等)获得信息。
但随着计算机网络的发展,人们想要获取信息,已不再满足于传统媒体那种单方面传输和获取的方式,而希望有一种主观的选择性。
现在,网络上提供各种类别的数据库系统,如文献期刊、产业信息、气象信息、论文检索等等。
由于计算机网络的发展,信息的获取变得非常及时、迅速和便捷。
到了1993年,WWW的技术有了突破性的进展,它解决了远程信息服务中的文字显示、数据连接以及图像传递的问题,使得WWW成为Internet上最为流行的信息传播方式。
现在,Web服务器成为Internet上最大的计算机群,Web文档之多、链接的网络之广,令人难以想象。
可以说,Web为Internet的普及迈出了开创性的一步,是近年来Internet上取得的最激动人心的成就。
WWW采用的是浏览器/服务器结构,其作用是整理和储存各种WWW资源,并响应客户端软件的请求,把客户所需的资源传送到Windows95(或Windows98)、WindowsNT、UN或Linux等平台上。
使用最多的webserver服务器软件有两个:
微软的信息服务器(iis),和Apache。
通俗的讲,Web服务器传送(serves)页面使浏览器可以浏览,然而应用程序服务器提供的是客户端应用程序可以调用(call)的方法(methods)。
确切一点,你可以说:
Web服务器专门处理HTTP请求(request),但是应用程序服务器是通过很多协议来为应用程序提供(serves)商业逻辑(businesslogic)。
二、二、web服务器的发展趋势服务器的发展趋势目前,Web服务器的发展有三个主要趋势:
1从从HTML到到XML(ExtensibleMarkupLanguage-可扩展标记语言)可扩展标记语言)HTML被称为“第一代Web语言”,如前面的介绍,HTML作为Web的开发语言,对Web应用的发展起到了关键性的作用。
但是HTML有一个致命的缺点:
只适合于人与计算机的交流,不适合计算机与计算机的交流。
HTML通过大量的标记来定义文档内容的表现方式,它仅仅描述了应如何在Web浏览器页面上布置文字、图形,并没有对Internet的信息含义本身进行描述,而信息又是Web应用中最重要的内容。
通过HTML表现出来的文字、图形内容很容易被人理解,但却不利于计算机程序去理解。
另外,HTML的另一个问题就是它的标记集合是固定的,用户不能根据自己的需要增加标记;而且各种浏览器的规格不尽相同,要使我们用HTML做的网页能够被所有浏览器正常显示,我们只能够使用W3C(万维网协会)规定的标记来创建网页。
正如前面所说,Web服务器向Web浏览器提供的信息都是来自有一定结构的数据库,在数据库里,为了检索和管理的方便,信息按照它本身的意义(如姓名、年龄、工作单位等)被存放在相应的字段里,一旦这些数据被调出来,经过CGI、ASP、JSP、PHP等转换成HTML后,其原来的意义无法转移到HTML标记中来,用户也就无法按照信息本来的意义去阅读。
并且,由于操作系统以及数据库的不同,不同的系统及应用层面之间要想互相理解对方的数据格式是相当困难的。
这就需要一种新技术或标准能够将最初保存在数据库服务器中的原始数据结构在不同的系统层面共享。
这种新技术就是XML。
使用XML可以解决上述的难题。
W3C对XML作了如下描述:
“XML描述了一类被称为XML文档的数据对象,并部分描述了处理它们的计算机程序的行为。
XML是SGML的一个应用实例。
从结构上说,XML文档遵从SGML文档标准。
”同HTML一样,XML也是一种基于文本的标记语言,都是从SGML(StandardGeneralizeMarkupLanguage,标准通用标记语言)发展而来,二者的不同在于:
XML可以让我们根据要表现的文档,自由地定义标记来表现具有实际意义的文档内容,例如,我们可以定义文档名称/文档名称这样具有实际意义的标记。
而且XML不像HTML那样具有固定的标记集合,它实际上是一种定义语言的语言,也就是说使用XML的用户可以定义无穷的标记来描述文档中的任何数据元素,将文档的内容组织成丰富的完整的信息体系。
总起来说,XML具有四大特点:
便于存储的数据格式、可扩展性、高度结构化以及方便的网络传输,这些特点为我们创建开放、高效、可扩展、个性化的Web应用提供了一个崭新的起点。
2从有线到无线从有线到无线电子商务正在从台式机向着更为广泛的无线设备发展,CahnersIn-Stat市场分析家预测,世界范围内的无线用户的人数将会从2000年的2.71亿增加到2004年的13亿。
Aberdeen集团的研究主任DarcyFowkes认为,采用无线方式进行电子商务的优势并不仅仅在于方便,它还可以节约公司的财力,而且,移动办公能使工作更加高效。
然而,由于多种无线网络类型、标记语言、协议和无线设备并存的复杂情况,使得网络内容和数据转换成能够被无线设备所识别的格式并不容易。
目前,许多企业都在致力于开发能够把应用程序以及互联网内容扩展到无线设备上的产品。
例如,IBM新版本的WebSphereTranscodingPublisher3.5增加和改进了许多新的特性,可以将企业内部网上的数据翻译到多种无线设备上。
该版本中新的特性包括对更多的无线设备、数据格式的支持,以及语言翻译功能。
它基于Java架构,能把用HTML和XML等标记语言编写的应用程序和数据转换成WML、HDML(HandheldDeviceMarkupLanguage)和iMode等无线设备所能识别的格式,这样,通过手持设备就可以访问互联网上的信息。
无线设备厂商Mobilize也推出了MobilizeCommerce产品,帮助企业进入无线网络。
该软件可以通过无线连接的方式访问企业的内部系统,远程地实现订单发送,并进行确认。
MobilizeCommerce可以充分利用XML对信息进行格式转换,以适合于无线设备,这些无线设备包括笔记本电脑、个人数字助理、无线电话、网络电话和双向寻呼等。
3从无声到有声从无声到有声世界上现在有十亿个电话终端,有超过2亿的移动电话。
而就人自身的交流习惯来看,人们也更愿意利用听和说的口头的方式进行交流。
目前,文本语音转换器(TTS,TexttoSpeech)的研究工作已经取得了很大的进步,实现了自动的语言分析理解,并允许TTS的使用者增加更多的韵律、音调在讲话中,使TTS系统的发声更接近人声。
在自动语音识别系统(ASR)领域里,自动语音识别系统在从整个词的模仿匹配,向音素层次的识别系统方向发展。
自动语音识别系统的词汇表由一个基于声音片断的字母表构成,而且这种词汇表是受不同语言限制的。
基于这种方式,在一个宽广的声音行列里,讲话能被识别系统发现和挑拣出来,并加以识别。
并且,在识别一个词的时候,每一个音素将从系统的输入中挑拣出来,拼接组合后与已经有的音素和词语模板进行比较,来产生需要的模板。
音素的识别大大减轻了ASR对讲话者的依赖性,并且使得它非常容易去建立大型的和容易修改的语音识别字典,从而满足不同应用市场的需求。
Web语音发展的另一方面是VoiceXML(VoiceExtensibleMarkupLanguage-语音可扩展标记语言)的进展。
VoiceXML的主要目标是要将Web上已有的大量应用、丰富的内容,让交互式语音界面也能够全部享受。
Web服务器处理一个来自客户端应用的请求,这一请求经过了VoiceXML解释程序和VoiceXML解释程序语境处理,作为响应,服务器产生出VoiceXML文件,在回复当中,要经过VoiceXML解释程序的处理。
VoiceXML1.0规范基于XML,为语音和电话应用的开发者、服务提供商和设备制造商提供了一个智能化的API。
VoiceXML的标准化将简化Web上具有语音响应服务的个性化界面的创建,使人们能够通过语音和电话访问网站上的信息和服务,像今天通过CGI脚本一样检索中心数据库,访问企业内部网,制造新的语音访问设备。
VoiceXML的执行平台上面加载了相应的软件和硬件,例如,ASR、TTS,从而实现语音的识别以及文本和语音之间的转化。
2000年5月23日,W3C接受了语音可扩展标记语言VoiceXML1.0作为实例。
目前,IBM、Nokia、Lucent、Motorola等著名厂商都已经开发出相应支持VoiceXML的产品,但现在的ASR和TTS系统大多还不能支持中文。
三、三、Web服务安全分析服务安全分析Web服务面临的主要威胁与对策:
1、未授权访问(、未授权访问(UnauthorizedAccess)提供敏感或者受限信息的Web服务应该对其调用方进行身份验证和授权。
脆弱的身份验证和授权会被人利用,以获取对敏感信息和操作的未授权访问。
造成的原因是:
未使用身份验证;在SOAP头中以明文传递密码;在未加密的通信信道上使用基本身份验证。
可以使用以下对策防止未授权的访问:
在SOAP头中使用密码摘要进行身份验证;在SOAP头中使用Kerberos票证进行身份验证;在SOAP头中使用X.509证书进行身份验证;使用Windows身份验证;使用基于角色的授权来限制对Web服务的访问,这可以通过使用URL授权控制对Web服务文件的访问,或者通过在Web方法级使用主体权限要求来实现。
2、参数操作、参数操作所谓参数操作是指对Web服务使用者和Web服务之间发送的数据进行未授权的修改。
如,可能在通过一个中间节点向目的地传输途中,攻击者可截获一个Web服务消息,然后在消息发送到预期终结点之前将其修改。
导致参数操作可能发生的原因包括:
消息没有进行数字签名以提供防篡改功能;消息没有进行加密以提供私密性和防篡改。
可以使用以下对策防止参数操作:
对消息进行数字签名;数字签名可用于在接收端验证消息是否没有在传递途中被篡改;加密消息负载以提供私密性和防篡改3、网络侦听、网络侦听通过网络侦听,攻击者能够在Web服务消息跨网络传输时查看这些消息。
例如,攻击者可以使用网络监视软件获取SOAP消息中包含的敏感数据。
可能包括敏感的应用程序级数据或者凭据信息。
导致网络侦听可能成功实施的原因包括:
在SOAP头中以明文传递凭据;未使用消息级加密;未使用传输级加密。
可以使用以下对策在敏感SOAP消息跨网络传输时进行保护:
使用传输级加密,只有在您可控制两端终结点时这种对策才适用;加密消息负载以提供私密性,这种方法在消息在去最终目的地的途中需要通过一个中间节点的场景中适用。
4、配置数据的泄漏、配置数据的泄漏Web服务泄漏配置数据有两种主要方式。
第一种是,Web服务可以支持Web服务描述语言的动态生成或者可支持在Web服务器上的可下载文件中提供WSDL信息。
取决于所处的场景,这可能是我们并不希望发生的。
第二种是,由于不适当的异常处理,Web服务可能泄漏对攻击者有用的敏感的内部实现细节。
可能导致配置数据泄漏的原因包括:
可从Web服务器下载无限制的WSDL文件;存在受限的Web服务支持WSDL的动态生成,而且允许未授权的使用者获取Web服务特性;脆弱的异常处理可以使用以下对策防止有害的配置数据泄漏:
使用NTFS权限对WSDL文件的访问进行授权;删除Web服务器上的WSDL文件。
四、四、Windows系统中系统中web服务器安全基本防范服务器安全基本防范1.帐号安全帐号安全要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户,让这个站点在系统中具有惟一的可以设置权限的身份。
此账号从User组中删除,添加到Guest组,去掉远程访问的权限。
注意账号密码尽可能复杂。
设置所有的分区禁止这个用户访问,站点的主目录对应的那个文件夹设置允许这个用户访问,要去掉继承父权限,并且要加上超管组和SYSTEM组。
在IIS的【站点属性或者虚拟目录属性目录安全性匿名访问和验证控制编辑匿名访问编辑】填写刚刚创建的那个用户名。
将所有盘符的权限,全部改为只有administrators组全部权限system全部权限2.目录安全目录安全对于文件上传功能,取消掉保存上传文件的执行权限,仅保留读写权限;必要时,可安装杀毒软件。
实时杀除上传上来的恶意代码。
C:
ProgramFilesCommonFiles开放Everyone默认的读取及运行,列出文件目录,读取三个权限C:
WINDOWS开放Everyone默认的读取及运行,列出文件目录,读取三个权限C:
WINDOWSTemp开放Everyone修改,读取及运行,列出文件目录,读取,写入权限对于一些其他的目录等权限,按需开放3.系统安全系统安全入侵者获得shell来执行更多指令对应措施:
设置ACL权限windows的命令行控制台位于WINDOWSSYSTEM32CMD.EXE我们将此文件的ACL修改为某个特定管理员帐户(比如administrator)拥有全部权限。
其他用户。
包括system用户,administrators组等等。
一律无权限访问此文件。
限制CMD.EXE的访问权限。
限制SQLSERVER内的XP_CMDSHELL4.远程桌面远程桌面修改默认3389端口限制ip对3389的访问限制能访问远程桌面的用户5.常规端口常规端口外-本地80,web服务外-本地20,ftp外-本地21,ftp外-本地25,smtp外-本地110,pop3外-本地3389,远程桌面外-本地1433,数据库除了明确允许的端口之外,其他的一律阻止。
6.IIS常规设置常规设置在IIS6下。
应用程序扩展内的文件类型对应ISAPI的类型已经去掉了IDQ,PRINT等等危险的脚本类型,一般来说需要把除了aspx,以及asax以外所有类型删除。
7.关闭无用的服务关闭无用的服务我们一般关闭如下服务ComputerBrowserHelpandSupportMessengerPrintSpoolerRemoteRegistryTCP/IPNetBIOSHelper如果服务器不用作域控,我们也可以禁用Workstation总结总结人要走进知识宝库是一辈子的事情,不可能一蹴而就。
因此我们要学习的东西太多了。
在这次web服务器的安全学习中,自己学到了很多东西。
服务器的安全问题是必须重视的一个重要问题,作为信息安全的学生,安全程度的配置更与自己所学专业知识的程度相关联的,更坚定了自己学好信息安全相关知识的决心。
总之,在这次web服务器的安全学习过程中,自己对windows系统有了更深的了解,最后看到自己的论文时,虽然不是很好,但是内心深处还是很甜的,因为这是自己更近一步的了解了安全的性质。
通过这次论文,不论对计算机、windows系统、还是web服务器都有了更深的了解。
参考文献参考文献1潘志安沈平李岚主编Linux操作系统应用M.北京:
高等教育出版社,2009.9.2葛世伦尹编著信息系统运行与维护M.北京电子工业出版社,2004.3网上linux成长记录总结web服务器搭建4linux操作系统、数据库等概念参考百度文库5庞春辉基于web企业管理系统的设计D大连大连理工大学2008.6李大亮,曲波.嵌入式Web服务器的设计与实现J.鞍山科技报,2004,27
(2)7罗惟,王萍.一个web服务器的设计J.现代电子技术,2003,157(14)8杨阳.基于URL的Web服务器数据访问J.网络技术,2003,(10)9刘波涛,郭麦成.微型WEB服务器的设计与实现J.国外电子测量技,2004,
(1)10贾立华,林碧英.在超文本协议中实现会话的若干方法J.现代电力,2003,
(2)11卢成梁.简易WEB服务器应答模块设计与研究市场周刊J.,2005,(4)12王茂林贺富强,Socket在局域网通信中的应用J.2006,(5)13周小松,朱雄军,基于TCP协议的Socket网络编程模式部署及实现,软件技术研究J,2006(9)9咏刚,Web开发技术发展史话10曹衍龙,刘海英,VisualC+网络通信编程实用案例精选,2006,(5)11DavidPallmann著,VisualC+6.0自动、查询和智能代理程序设计,199914樊银亭,何鸿云.基于客户机/服务器体系的二层与三层结构研究.计算机应用研究,2001,18(12):
232415徐琨,刘志镜,来琳涵.Web数据库访问的中间件技术分析与研究.计算机工程与科学,2002,24(4):
545616齐勇,赵季中,侯迪等.基于Web的中间件系统集成框架应用服务器的研究.计算机研究与发展,2001,38(4):
43043717范国闯,钟华,黄涛等.Web应用服务器研究综述.软件学报,2003,14(10):
1728173918齐勇,赵季中,侯迪等.中间应用服务器中分布对象事务服务管理技术研究.西安交通大学学报,2001,35
(2):
13313619赵仲孟,沈海斌,王瑞等.JAVA应用服务器安全服务体系的分析与实现.计算机工程与应用,2003,21(3):
17517720桂艳峰,林作铨.一个基于角色的Web安全访问控制系统.计算机研究与发展,2003,40(8):
1186119421唐建平.与应用服务器平台无关的Web认证和授权方法.计算机应用,2003,23(8):
707222范国闯,朱寰,黄涛等.Web应用服务器自适应负载平衡服务.软件学报,2003,14(6):
1134114123邓丽.基于JAVA规范的网络平台应用服务器的研究:
西安建筑科技大学图书馆.200224张震,张曾科,秦颖.用Java开发Web服务器组件的方法.计算机工程与应用,2001,37(8):
454625阮彤,李京,冯东雷.基于Java的应用服务器的设计与实现.计算机研究与发展,2001,38(8):
93994626姚念民,郑名扬,鞠九滨.基于流水线的高性能Web服务器.软件学报,2003,14(6):
1127113327万江平,何思遥,吴越等.用Java开发HTTP服务器.计算机应用研究,2000,17
(2):
606228ClaireCloutier,MollyShangraw,JoanMcGaw,etal.JavaNetwork29宋维维,陈淑珍,孙晓安.Java语言中的多线程和双缓冲技术.计算机工程,1998,24(12):
303130陈泽斌,张凌.新型Web服务器Jigsaw结构与功能分析.见:
全国第一届JAVA技术及应用研讨会论文集.北京.1998.北京:
中国计算机学会,1998.11411931门志勇.Servlet过滤器研究.微型机与应用,2002,21(3):
7832左华,袁太文,谢寄石.Java中的名字目录服务及其管理实现.微型机与应用,2002,21(5):
131433邹天思孙鹏.PHP从入门到精通M.北京:
清华大学出版社,2008.34Michaelkofler.MySQL5权威指南M.北京:
人民邮电出版社,2006.35潘凯华,邹天思.PHP开发实战宝典M.北京:
清华大学出版社,2010.36张万山,王小四.空气质量的研究.环境学报,2000,34(6):
13-17.37张完善.有色金属材料.第二版.大连:
金属工业出版社,1998.89-90.38张完善,刘六,等.第五届科学管理国际会议论文集.北京:
管理工程出版社,2001.18-19.39张完善,刘六.校园环境与学风建设.城市日报,2002年3月5日,第2版.5BorkoH,BernierCL.Indexingconceptsandmethods.NewYork:
AcademicPr.,197840ZiLOGInc.IntroductiontoEmbeddedWebserversD.200641BehrouzA.ForouzanSophiaChungFegan.TCP/IP协议族M.北京:
清华大学出版社2005:
42SamsungS3C24lOX32-BitRISCMicroprocessorDevelopersManual2007Samsung.43李荣鑫喻国平.基于ARM的嵌入式WEB服务器技术研究.J微计算机信息2007(8)44高珀珀邵时.低端嵌入式设备Web服务器的研究与实现J.计算机工程2005(10)45万加富,张文斐,张占松.网络监控系统原理与应用M.北京:
机械工业出版社,2003:
7-9.46张梅基于嵌入式Web服务器远程监控系统的研究与实现.J计算机信息200647姜涛.嵌入式网络技术的研究J.软件导刊2006(19)48ReattachProgrammingforEmbeddedSystemM北
升级会员 