如何使Web更安全 - 3

來源:互聯網
上載者:User
web|安全   建立一個加密串連,僅需要伺服器獲得權威機構(如VeriSign)頒發的認證。但是加密僅能阻止攻擊者看到網站發送
和接收的資料,它並不能阻止攻擊者偽造身份和對網站進行的惡意攻擊。

二、偽裝成Web網站的合法訪問者

  現在我們已經知道如何鑒別一個Web網站,但是一個網站如何鑒別它的訪問者呢?下面我們就接著討論這個問題。

  大部分Web伺服器支援兩個密碼鑒別方案:基本密碼鑒別和分類密碼鑒別。兩個方案都通過向瀏覽器發送鑒別訊號來進
行。當瀏覽器第一次收到鑒別訊號時,它顯示一個對話方塊詢問使用者的名字和密碼。在基本鑒別模式中,瀏覽器以簡單的文
本形式來傳遞使用者名稱和密碼。在分類鑒別模式中,瀏覽器傳送使用者名稱和密碼的訊息類。如果伺服器發送它的證實,瀏覽器
就把登入資訊儲存起來。

  如果你用Web伺服器上的簡單設定來實現這些評鑑方案,Web應用程式中不需要添加任何代碼。

  攻擊者的監聽問題:如果訪問者以簡單的文本形式發送他的使用者名稱和密碼,攻擊者很容易就可捕獲到這些資訊。傳送
使用者資訊使用SSL可以很容易地解決這個問題。如下面的例子所示。


User ID: < input type="text" name="user" >
Password: < input type="password" name="password">


  如果攻擊者不能監聽Web網站和訪問者之間的通訊,他將要採取更加卑劣的手段——偽裝成你的合法訪問者。造成這種
情況出現的原因一般是訪問者自己造成的,因為大部分網路使用者在密碼選取上不是很留心,他們的密碼一般都不是很安
全。他們在登入各個網站時,喜歡使用相同的使用者名稱和密碼。

  解決這個問題的方法就是訪問者在註冊帳號時要使用安全的密碼。Web網站最好具有能阻止訪問者設定英文單詞作為密
碼的功能,它可以建議使用者使用數字和字母混合而成的密碼。

三、偽裝成Web網站管理員

  當訪問者登入到你的網站時,你將會保持他們的身份一直有效,直到他們離開該網站。那麼如何?這個功能呢?因
為在瀏覽器和伺服器之間不會建立一個永久的串連,所以伺服器會在收到每個頁面請求後只建立一個單獨的串連。

  使用者登入成功後伺服器是如何證實該使用者的身份呢?

  答案是瀏覽器儲存了使用者的姓名和密碼。當瀏覽器和伺服器再次串連時,瀏覽器將傳遞已經儲存過的使用者名稱和密碼。
伺服器利用使用者資料庫來證實這些資訊,並會在此基礎上作出允許和拒絕訪問的決定。

  前面我們提到過,瀏覽器通過比較帶有伺服器的數位憑證的公有名字的URL來證實伺服器的身份。這是一個很好的Web
安全防範措施。但是它不能避免所有的偽裝伺服器的攻擊。

  網域名稱服務 (DNS)系統(DNS)可把易讀的網址(例如www.yourunit.com)解析為IP地址,在你的安全連結中它是一個易遭受攻
擊的連結。如果攻擊者訪問了一個DNS伺服器,並且修改了指向他的機器的記錄,那麼這個機器就可以把所有來自
www.yourunit.com網站的請求全部重新導向到www.attacker.com.。在重新導向中,訪問者的瀏覽器將顯示預設的地址尾碼。如
果字串很長,使www.attacker.com不在視野之內,大部分訪問者都不會注意到。

  如果攻擊者得到VeriSign為www.attacker.com頒發的數位憑證,那麼訪問者的瀏覽器將和www.attacker.com建立合法
的串連。如果訪問者不檢查數位憑證,他不會知道自己在一個駭客網站上。如果攻擊者把他的網站偽裝成為和
www.attacker.com的登入介面一樣的話,他就能捕獲到該客戶的銀行信用卡帳號。



相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。