浅析W EB浏览器的安全与防范
马琴
(重庆水利电力职业技术学院,重庆市402160)
应用科技
瞒要】W E B浏览器为用户提供了美观、实用的图形界面,通过鼠标操作可以洲览、检索与其相关的分布在各地的多媒体信息(可以是
文字、图片、图像、动画等信息)。其功能强大,使用方便,图文、声像并茂,已成为因特网上最具有代泰胜的信息查询工具,应用十分广泛,其安全J生一直是用户关心的问题。
[关键词】W EB浏览器;安全;防范
W eb浏览服务是指采用B/S架构、通过H t t p协议提供服务的统称,这种结构也称为W e b架构,随着W eb2.0的发展,出现了数据与服务处理分离、服务与数据分布式等变化,其交互性能也大大增强,被称为B/S/D三层结构。互联网能够快速流行得益于W e b部署上的简单,开发上简便,W eb网页的开发大军迅速超过了以往任何计算机语言的爱好者,普及带来了应用上繁荣。简单与安全好像总有些“矛盾
”,浏览器可以直接看到页面的H t m l代码,早期的W eb服务设计没有过多的安全考虑,人性本善,技术人员总是相信人都是善良的}但随着W eb2D的广泛使用,W eb服务不再只是信息发布,游戏中的装备交易、日常生活中网上购物、政府行政审批、企业资源管理…信息价值的诱惑,不是所有的人都有W eb溺寸音的“大同”思想,安全问题日显突出了。
1W eb浏览器攻击对象分类
针对W eb浏览器的攻击分为两大类,第一类攻击的目标是您的浏览器。内容包括:1)跨站点脚本(X S S),其中非法攻击者插入恶意代码到一个你信任的网页上,并使您的浏览器自动运行它。2)跨站点请求伪造(CSR F),攻击者在—个W eb页面中插入代码,使他可以以你的名义发送命令到其他网站。3)点击劫持(cl i c kj acki ng),就是说恶意程序隐藏在一个网站上,您可能无意中按下按钮。针对浏览器的攻击,利用欺骗性的网页或链接将您重定向到意想不到的地点,通过劫持浏览会话,情}肖下载恶意软件到计算机上,或-执,/5交易(如您的W e b 邮件转发给攻击者)。第二类攻击的目标是你的整个系统。这种系统性的攻击利用你的浏览器或插件(如Q ui c kTi m e或Fl as h)上安全漏洞来攻破你的电脑。这些攻击利用了可以进行病毒、蠕虫和远程攻击的缓冲区溢出和其他漏洞。
2W eb浏览器面临的威胁
21浏览器的自动调用
浏览器一个强大的功能就是能够自动调用浏览器所在计算机中的有关应用程序,以便正确显示从W eb服务器取得的各种类型的信息。某些功能强大的应用程序,依靠来自W eb服务器的任意输入参数来运行,可能被用于获取非授权访问权限,对W eb浏览器所在的计算机构成了极大的安全威胁。浏览器中使用的协议有H"FI-P,FT P,G O—PH E R,W A I S等,还包括N N T P和SM T P协议。当用户使用浏览器时,实际上是在申请H TT P等服务器。这些服务器都存在漏洞,是不安全的。
22恶意代J马
由于某些动态页面以来源不可信的用户输入的数据为参数生成页面,所以W eb网页中可能会不经意地包含一些恶意的脚本程序等。如果W eb服务器对此不进行处理,那么很可能对W eb服务器和浏览器用户双方都带来安全威胁。即使采用S SL来保护传输,也不能阻止这些恶意的代码传输。现在有这样的一些网站,只要链接到它的页面上,不是I E首页被改就是I E的某些选项被禁用了,一些网页上的恶意代码还可以格式化硬盘或删除硬盘上存储的数据。
23浏览器本身的漏洞
浏览web是什么意思浏览器的功能越来越强大,但是由于程序结构的复杂性,出现在浏览器上的漏洞层出不穷。开发商在堵住了旧的漏洞的同时,可能又出现了新的漏洞。浏览器的安全漏洞可能让攻击者获取磁盘信息、安全口令,甚至破坏磁盘文件系统等。这些浏览器本身的漏洞都会给浏览器用户、浏览器所连接的服务
器或整个网络系统造成一种潜在的威胁。
24浏览器泄露的敏感信息
W e b服务器大多对每次接受的访问都做相应的记录,并保存到日志文件中。通常包括来访的IP地址、来访的用户名、请求的U RL、请求的状态和传输的数据大小。浏览器在向外传送信息的时候,很可能已经把自己的敏感信息送了出去。
25W eb欺骗
由于W eb网页具有容易复制的特点,使得W eb欺骗变得很容易实现
1)欺骗攻击。如果在大街上树立~个绿的假邮筒,就会给人造成假象,使人误以为真,有不少人可能会把信扔进里面。欺骗攻击的原理和这很类f以,主要指攻击者通过伪造一些容易引起错觉的文字、音像或者其他场景来诱导受骗者做出错误的与安全有关的决策。在网络虚拟的世界里,同样存在被骗的受害者。W e b欺骗就是一种网络欺骗,攻击者构建的虚假网站看起来就像真实站点,具有同样的链接,同样的页面,而实际上,被欺骗的所有浏览器用户与这些伪装的页面的交互都受攻击者控制。2)W eb欺骗攻击的原理。W eb欺骗攻击成功的关键在于攻击者的伪服务器必须位于受骗用户到目标W e b服务的必经路径上。攻击者首先在某些W eb网页上改写所有与目标W eb站点有关的链接,使得不
能指向真正的W e b服务器,而是指向攻击者的伪服务器。当用户点击这些链接时,首先指向了伪服务器,攻击者向真正的服务器索取用户的所需界面。当获得目标W eb送来的页面后,伪服务器改写链接并加入伪装代码,送给被欺骗的浏览器用户。W eb服务器安全的几个要素。
3W E B浏览器的安全防范对策
W E B浏览器的安全要求建立一个安全的W eb网站,而且用户必须对W e b服务器的安全性有全面的认识。从信息发布平台内部来看,应该做到如下几点:1)恰当地配置W eb服务器,只保留必要的服务,删除和关闭无用的或不必要的服务。因为启动不必要的服务可能使他人获得系统信息,甚至获取密码文件。2)增强服务器操作系统的安全,密切关注并及时安装系统及软件的最新补丁:建立良好的账号管理制度,使用足够安全的口令,并正确设置用户访问权限。3)对服务器进行远程管理时,使用如SS L等安全协议,避免使用T e l net、FT P等程序,因为这些程序是以明文形式传输密码的,容易被监听:严格控制远程root身份的使用,仅在绝对需要时才允许使用具有高授权的操作。4)禁止或限制C G I程序和A SP、PH P脚本程序的使用。因为这些程序会带来系统的安全隐患,而且某些脚本程序本身就存在安全漏洞。5)使用防火墙及罩垒主机,对数据包进行过滤,禁止某些地址对服务器的某砦服务的访问,并在外部网络和W eb服务器中建立双层防护。利用防火墙,将服务器中没有必要从防火墙外面访问的服务及端口阻隔,进一步增强开放服务的安全性。6)使用漏洞扫描和安全评估软件,对整个网络进行全面的扫描、分析和评估,从用户账号约束、口令系统、系统监测、访问控制、数据加
密、数据完整等多方面进行安全分析和审计。建立和提高用户的安全策略,及时发现并弥补安全漏洞。
作者简介:马琴,1979年生,女,重庆江津人,讲师,在读研究生.研究向为软件应用。
’T。。E’。‘C‘‘‘。L‘。N。。O。。。U。。。3。。G‘’。Y。‘。。。。。’。。——203

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。