1、2022/8/16 18:06:49Web安全1第四章 web安全知 識 點： 服務器安全 瀏覽器安全難 點： 服務器安全策略 瀏覽器安全策略內容： 服務器安全策略 瀏覽器安全問題 服務器安全問題2022/8/16 18:06:49Web安全2第1節 Web技術簡介Web又稱World Wide Web(萬維網)，其基本結構是采用開放式的客戶/服務器結構（Client/Server），分成服務器端、客戶接收端以及傳輸規程三個部分.服務器規定傳輸設定、信息傳輸格式和服務器本身的開放式結構客戶機統稱瀏覽器，用于向服務器發送資源索取請求，并將接收到的信息進行解碼和顯示；通信協議是Web瀏覽器與服務器

2、之間進行通訊傳輸的規范。2022/8/16 18:06:49Web安全34.1.1 HTTP協議HTTP（HyperText Transfer Protocol，超文本傳輸協議）協議是分布式的Web應用的核心技術協議，在TCP/IP協議棧中屬于應用層。它定義Web瀏覽器向Web服務器發送索取Web頁面請求格式以及Web頁面在Internet上的傳輸方式。HTTP協議一直在不斷的發展和完善。了解HTTP的工作過程，可以更好地監測Web服務器對Web瀏覽器的響應，對于Web的安全管理非常有用。一般情況下，Web服務器在80端口等候Web瀏覽器的請求；Web瀏覽器通過3次握手與服務器建立TCP/IP

3、連接，然后Web瀏覽器通過類似如下簡單命令向服務器發送索取頁面的請求： GET/dailynews.html服務器則以相應的文件為內容響應Web瀏覽器的請求。2022/8/16 18:06:49Web安全44.1.2 HTML語言與其他Web編程語言Web的特點決定了Web的內容必須能夠以適當的形式來組織和安排，使得它在各種平臺上的Web瀏覽器上能夠得到正確的解釋，并具有豐富層次的界面，如文本、圖形圖像和連接等應該具有不同的詮釋和顯示。HTML（Hyper Text Markup Language，超文本標識語言）語言的出現解決了頁面作者定制網頁總體輪廓的問題，用文本語言的方式實現了Web內容

4、和存儲上的統一。2022/8/16 18:06:49Web安全54.1.2 HTML語言與其他Web編程語言HTML幾乎為所有常見的Web瀏覽器所支持。Web瀏覽器在得到Web頁面之后，根據HTML語言的標記來決定頁面的層次結構和顯示格式，并且可以通過URL（Universal Resource Locator）來實現Web頁面的連接和跳轉。對用戶而言則是透明的。支持圖像、動畫和聲音等多媒體內容的嵌入，即所謂HyperMedia。HTML中可以包括層疊式樣表CSS（Cascading Style Sheets）。CSS屬于一種式樣設計模板（Design Templates）。它能夠幫助用戶控制

5、HTML元素的呈現方式和輪廓，將HTML的內容制作和式樣設計分開。2022/8/16 18:06:49Web安全64.1.3 Web服務器Internet 上眾多的Web服務器匯集了大量的信息，Web服務器的作用就是管理這些文檔，處理用戶發來的各種請求，將滿足用戶要求的信息返回給用戶。本質上來說，Web服務器是駐留在服務器上的一個程序，通過Web瀏覽器與用戶交互操作，為用戶提供興趣信息。2022/8/16 18:06:49Web安全74.1.4 Web瀏覽器Web瀏覽器是閱讀Web上的信息的客戶端的軟件。如果用戶在本地機器上安裝了Web瀏覽器軟件，就可以讀取Web上的信息了。Web瀏覽器在網絡

6、上與Web服務器打交道，從服務器上下載和獲取文件。Web瀏覽器有多種，他們都可以瀏覽Web上的內容，只不過所支持的協議標準以及功能特性各有異同罷了。絕大部分的瀏覽器都運用了圖形用戶界面。目前常用的有：Netscape Navigator、Netscape Communicator、Microsoft Internet Explorer、Opera , Mosaic 和Lynx等等。Netscape 的瀏覽器幾乎可以在所有的平臺上運行，而且具有創意.Microsoft Internet Explorer則是Web瀏覽器市場的霸主。2022/8/16 18:06:49Web安全84.1.5 公共網

7、關接口介紹CGI，指的是公共網關接口（Common Gateway Interface ）是Web信息服務器與外部應用程序之間交換數據的標準接口。1功能 收集從Web瀏覽器發送給Web服務器的信息，并且把這些信息傳送給外部程序； 把外部程序的輸出作為Web服務器對發送信息的Web瀏覽器的響應，發送給該Web瀏覽器。 Web服務器真正實現了與Web瀏覽器用戶之間的交互。比如:： 收集用戶意見和建議； 根據用戶要求，從服務器上的數據庫中提取相關信息并回傳給用戶； 為用戶創建動態的圖表。如股票市場的動態走勢圖等。2022/8/16 18:06:49Web安全94.1.5 公共網關接口介紹2 CGI的

8、工作原理在HTML文件中，表單（Form）與CGI程序配合使用，共同來完成信息交流的目的。一般過程是：（1） 用戶用Web瀏覽器提交表單登錄；（2） Web瀏覽器發送登錄請求到Web服務器；（3） Web服務器分析Web瀏覽器送來的數據包，確認是CGI請求，于是通過CGI將表單數據按照一定格式送給相應的CGI應用程序；（4） CGI應用程序對數據處理，驗證，將動態生成的頁面發送給Web服務器；（5） Web服務器把CGI應用程序東來的頁面發送給請求登錄的Web瀏覽器；（6） Web瀏覽器接收到，并解釋、顯示頁面。2022/8/16 18:06:49Web安全104.1.5 公共網關接口介紹3

9、CGI的與服務器的交互關系Web瀏覽器向Web服務器提交表單數據通常有兩種方式：（1） Post方式。Web服務器通過標準輸入方式把數據轉交CGI應用程序。數據處理完畢后，將結果輸出到標準輸出既可以為Web服務器所接收。（2） Get方式。在UNIX類的系統中，Web服務器通過環境變量來把數據轉交CGI應用程序的。2022/8/16 18:06:49Web安全114.1.5 公共網關接口介紹4 CGI的替代產品Web越來越流行，隨著市場需求的增大，用于構建強大網站應用程序的工具紛紛出現。如：微軟公司的ASP（Active Server Pages）Allaire公司的Cold FusionhP

10、HP/FI 等 2022/8/16 18:06:49Web安全12第2節 Web的安全需求Web改變了現代人的生活，為人類帶來了前所未有的機遇和挑戰。現代人在感受到它的美好并盡情享受時，也已經開始擔憂在虛幻的這種網絡世界里，能否保證自己的安全和隱私。2022/8/16 18:06:49Web安全131 Web帶來的利益網絡的美麗，網絡的絢爛多彩，讓人們感受到了Web的技術的強大，所以網絡用戶在迅速增大，網絡站點在迅速增多。首先，建立和使用網站不再是什么困難的事情。軟件豐富，硬件價格低廉，技術的普及，使得很多人都可以建立和使用網站來處理數據和信息。Web服務，可以減輕商家的負擔，提高用戶的滿意度

11、.因為它可以節省大量的人力，用戶隨時可以利用Web瀏覽器給商家反饋信息、提出意見和建議，并且可以得到自己的服務；商家則可以利用網絡的Web，使得自己很容易的把服務推廣到全球網絡覆蓋的地方，而不一定必須派專人作為商務代表常駐世界各地。Web增進了相互合作.傳統的人們為了交流，要花費許多時間和金錢，長途跋涉或者等候郵局的包裹信函。通過Web，團隊之間可以互相交流，費用低廉。隨著Web技術的不斷更新和完善，它肯定會推出更加先進的服務。2022/8/16 18:06:49Web安全142 Web帶來的憂慮美國東部時間1999年6月29日7點36分，電腦黑客使用了一種為人熟知的軟件攻擊了美國陸軍的主要站

12、點，而且在長達9個小時的時間里面沒有人發現。 2000年2月7日到9日這三天中，包括雅虎公司、亞馬遜書店、有線電視新聞網等美國各大公司的網站都受到來歷不明的電子攻擊；之后，微軟的3家網站也受到類似的攻擊 在一年一度的賭城拉斯維加斯大會開幕的當天，一群自稱沒錢聚會的黑客黑掉了黑客站點 本周日（2000.01.15）早些時候，黑客襲擊了以網絡安全技術著稱的美國RSA Security Inc的站點http： ，篡改了該站點的主頁。RSA安全實驗室的市場宣傳口號是“電子安全領域最值得信賴的名字”，它的世界商用加密技術、電子鑰匙經營以及電子鑒定技術等領域都處于領先地位。 2022/8/16 18:06

13、:49Web安全15網絡不安全! 信息泄漏攻擊者非法訪問、獲取目標機器（Web服務器或者瀏覽器）上的敏感信息；或者中途截取Web服務器和瀏覽器之間傳輸的敏感信息；或者由于配置、軟件等的原因無意泄漏的敏感信息； 拒絕服務該威脅不容易抵御。攻擊者的直接目的不在于侵入計算機，而是在短時間內向目標發送大量的正常的請求包并使得目標機器維持相應的連接，或者發送需要目標機器解析的大量無用的數據包。使得目標機器資源耗盡還是應接不暇，根本無法相應正常的服務。 系統崩潰通過Web篡改、毀壞信息，甚至篡改、刪除關鍵文件，格式磁盤等等使得Web服務器或者瀏覽器崩潰。 跳板：這種危險使得非法破壞者常常逍遙法外。攻擊者非

14、法侵入目標機器，并以此為基地，進一步攻擊其他目標，從而使得這些目標機器成為“替罪羊”，遭受困擾甚至法律處分。2022/8/16 18:06:49Web安全16Web為什么會如此的不安全？原因只有一個：因為它連接在計算機網絡上！2022/8/16 18:06:49Web安全174.2.2 Web安全風險與體系結構從Web服務器角度來講，服務器風險比Web瀏覽器用戶更大。因為一旦開設了服務器，就必須給眾多的客戶訪問的權力，大多數網民滿足于欣賞Web服務器管理員安排的友好界面和所需資料的獲取和使用，但是少數人可能會好奇，“界面的背后是什么？”，“能否把這個顯示的界面改一改？”等等想法都可能導致頁面被

15、更換、內容被破壞等等不幸的事情發生。軟件開發工程師說“龐大而且復雜的軟件程序不能避免出現bug”；系統安全專家 說“有bug的軟件會使得系統不安全”。Web服務器序可能存在漏洞，也是Web系統的安全漏洞。做到絕對的Web安全，幾乎可以說是不可能的，但是，我們可以盡量避免出現不安全的因素。2022/8/16 18:06:49Web安全181 Web的安全體系結構 Web瀏覽器軟件的安全； Web服務器上Web服務器軟件的安全； 主機系統的安全； 客戶端的局域網； 服務器端的局域網； Internet。2022/8/16 18:06:49Web安全192 主機系統的安全主機系統的安全主要是指的瀏覽

16、器端的計算機設備及其操作系統的安全。攻擊者通常通過對主機的訪問來獲取主機的訪問權限，一旦惡意用戶突破了這個機制，就可以完成任意的操作。通常情況下，口令的不安全，有以下幾點： 大部分個人計算機無認證系統，根本沒有口令與身份認證的概念。所以,沒有認證機制的PC是Web服務器的最不安全的平臺。 非法獲取口令，是網絡上主機的最大安全威脅。主要有兩種途徑： 口令破譯。它重復的猜測口令并驗證，直到口令正確。 口令監聽。也是獲取口令的一種方法，通過使用網絡“監聽”技術來獲取口令。2022/8/16 18:06:49Web安全203.網絡系統的安全關于網絡系統的安全:漏洞平臺IP安全層間安全.2022/8/1

17、6 18:06:49Web安全214. Web應用的安全了解Web的安全需求是實現Web安全的第一步，實現Web安全，要從以下三個方面考慮： Web服務器的安全需求；Web瀏覽器的安全需求； Web傳輸過程的安全需求。2022/8/16 18:06:49Web安全224.2.3 Web服務器的安全需求隨著開放系統的發展和Internet的延伸，技術間的交流變得越來越容易;人們也更容易獲取功能強大的攻擊安全系統的工具軟件；由于人才流動頻繁，掌握系統安全情況的有關人員可能會成為無關人員，從而使得系統安全秘密的擴散成為可能。所以:不能靠“不讓別人知道”的途徑來實現安全2022/8/16 18:06:

18、49Web安全23（1） 維護公布信息的真實完整是Web服務器最基本的要求。Web服務器在一定程度上是站點擁有者的代言人（2） 維持Web服務的安全可用要確保用戶能夠獲得Web服務，防止系統本身可能出現的問題以及他人的惡意的破壞；要確保所提供的服務是可信的，尤其是金融或者電子商務的站點。（3） 保護Web訪問者的隱私用戶IP地址，電子郵件地址，所用計算機名稱，單位名稱，計算機簡單說明，所訪問頁面內容，訪問時間，傳輸數據量，甚至個人的信用卡號碼等信息。（4） 保證Web服務器不被入侵者作為“跳板”使用是Web服務器最基本的要求。Web服務器不能被作為“跳板”來進一步侵入內部網絡；保證Web服務器

19、不被用作“跳板”來進一步危害其他網絡。2022/8/16 18:06:49Web安全244.2.4 Web瀏覽器的安全需求Web瀏覽器:簡單實用功能強大瀏覽器的用戶的安全問題：用戶輕點鼠標，精彩的網頁瀏覽器程序已經把某些信息傳送給網絡上的某一臺計算機（可能在世界的另一個角落），瀏覽器向它索取網頁，網頁通過網絡傳到瀏覽器計算機中，傳來的內容，有的是瀏覽器用戶需要的，能夠看到的，但是同時還有瀏覽器不能顯示的內容，悄悄的存入瀏覽器計算機的硬盤上，這些不顯示的內容，可能是協議工作內容，對用戶是透明的，但是也可能是惡作劇代碼，或者是蓄意破壞的代碼，它們會竊取Web瀏覽器用戶的計算機上的所有可能的隱私，也

20、可能破壞計算機的設備，還可能使得用戶在網上沖浪時誤入歧途。因此，Web瀏覽器的安全也應該注意保障。2022/8/16 18:06:49Web安全25用戶Web安全需求 確保運行瀏覽器的系統不被病毒或者木馬或者其他惡意程序侵害而遭受破壞； 確保個人安全信息不外泄； 確保所交互的站點的真實性。以免得被騙，遭受損失。2022/8/16 18:06:49Web安全264.2.5 Web傳輸的安全需求 保證傳輸方（信息）的真實性：要求所傳輸的數據包必須是發送方發出的，而不是他人偽造的； 保證傳輸信息的完整性：要求所傳輸的數據包完整無缺，當數據包被刪節或被篡改時，有相應的檢查辦法。 特殊的安全性較高的We

21、b，需要傳輸的保密性：敏感信息必須采用加密方式傳輸，防止被截獲而泄密； 認證應用的Web，需要信息的不可否認性：對于那種身份認證要求較高的Web應用，必須有識別發送信息是否為發送方所發的方法； 對于防偽要求較高的Web應用，保證信息的不可重用性：努力做到信息即使被中途截取，也無法被再次使用。2022/8/16 18:06:49Web安全27第3節 Web服務器安全策略4.3.1 定制安全政策4.3.2 認真組織Web服務器4.3.3 跟蹤最新安全指南4.3.4 意外事件的處理2022/8/16 18:06:49Web安全284.3.1 定制安全政策1 定義安全資源，進行重要等級劃分2 進行安全

22、風險評估3 制定安全策略的基本原則4 建立安全培訓制度5 具有意外事件處理措施2022/8/16 18:06:49Web安全294.3.2 認真組織Web服務器服務器的安全策略，有很多內容，簡單說明幾個必須的內容:2022/8/16 18:06:49Web安全301 認真選擇Web服務器設備和相關軟件對于Web服務器，最顯著的性能要求是響應時間和吞吐率。其中，典型的功能包括： 提供靜態頁面和多種動態頁面的能力； 接受和處理用戶信息的能力； 提供站點搜索服務的能力； 遠程管理的能力。而典型的安全方面的要求包括：在已知的Web服務器漏洞中，針對該類型的最少；對服務器的管理操作只能由授權用戶執行；

23、拒絕通過Web訪問不公開的信息； 能夠禁止內嵌的不必要的網絡服務； 能夠控制各種形式的可執行程序的訪問； 能對某些Web操作進行日志記錄，便于執行入侵監測和入侵企圖分析； 能夠具有一定的容錯性。2022/8/16 18:06:49Web安全312 仔細配置Web服務器（1） 將Web服務器與內部網絡分隔開來（2） 維護安全的Web站點的拷貝（3） 合理配置主機系統（4） 合理配置Web服務器軟件2022/8/16 18:06:49Web安全32（1） 將Web服務器與內部網絡分隔開來Web服務器被入侵的時候，可能的危害有： Web服務器系統被破壞甚至崩潰； 入侵者收集敏感信息，如用戶名，口令等

24、； 入侵者借助入侵的服務器為基礎，進一步破壞其他網絡。所以，為了避免上述情況，我們應當把Web服務器隔離開來，可以采用： 使用智能HUB或者二層交換機隔離； 所有內部網絡的交換信息都采用加密方式； 使用防火墻包過濾功能將Web服務器和內部網絡隔離； 使用帶有防火墻功能的三、四層交換機。2022/8/16 18:06:49Web安全33（2） 維護安全的Web站點的拷貝備份系統是系統管理員的法寶。所以，一般情況下，Web服務器都采用多臺備份機器在服務。但是要保證兩點：首先，備份的內容是真實可靠的；其次，備份存儲的地方是非常可靠的，安全的。2022/8/16 18:06:49Web安全34（3）

25、合理配置主機系統主機的操作系統是Web的直接支撐者，合理地配置主機系統，能夠為Web服務器提供強健的安全支持。可以從兩個方面考慮：僅僅提供必要的服務配置軟件簡單，只需考慮一種Web服務； 管理人員單一，便于管理； 用戶訪問方式單一，便于管理； 訪問日志文件較少，便于審計； 避免多種服務之間的故障沖突。選擇使用必要的輔助工具選擇輔助工具，簡化主機安全管理:UNIX系統的tcp_wrapper 工具，對系統起到一定的安全保護作用。2022/8/16 18:06:49Web安全35（4） 合理配置Web服務器軟件在設置Web服務器訪問控制規則的時候，要注意一些事項，Web服務器一般提供如下幾種類型的

26、訪問控制方法： 通過IP地址、子網域名來控制。這種方法要盡量避免 “欺騙”。 通過用戶名/口令限制控制訪問。這種方法要盡量避免口令被竊取。 通過公用密鑰加密的方法控制訪問。對于Web服務器的有關目錄必須設置權限。具體設置在此不詳細描述。謹慎使用安全性比較脆弱的Web服務器功能，比如，自動目錄列表功能，符號連接功能，用戶維護目錄功能，等等。把服務限制在有限的文件空間范圍內。配置好Web服務器的管理功能。盡量禁止遠程管理等功能。要記錄Web服務器的安全狀態信息。2022/8/16 18:06:49Web安全363 謹慎組織Web服務器的相關內容Web服務器的相關內容必須謹慎組織，以保證網站的信譽。

27、其內容主要包括以下幾個方面：（1） 聯接檢查，檢查源程序，察看聯接URL和相應的內容是否圖文一致，察看URL所提供的內容是否和網頁的描述一致；（2） CGI程序檢測，防止非法用戶的惡意使用CGI程序，造成破壞。2022/8/16 18:06:49Web安全374 安全管理Web服務器Web服務器的安全管理不是一勞永逸的，需要認真維護。（1） 更新Web服務器內容盡量采用安全方式，比如，盡可能的避免網絡更新，而是采用本地方式；（2） 經常審查有關日志記錄。按照HTTP協議的規定;（3） 進行必要的數據備份;（4） 定期對Web服務器進行安全檢查。（5）使用 輔助工具。2022/8/16 18:0

28、6:49Web安全38常用的Web服務器響應代碼有： 200：用戶請求被正確響應； 302：URL被重定向到其他文件； 400：用戶請求有錯誤； 401：所訪問的文件要求進行身份認證； 403：所請求的文件被禁止訪問； 404：所請求的文件沒找到； 500：服務器內部錯誤； 501：Web服務器沒安裝所請求的應用方法； 503：服務器資源不足。2022/8/16 18:06:49Web安全39（3） 進行必要的數據備份。備份是對付任何意外事故的保留方法，是系統的最后的安全防線。2022/8/16 18:06:49Web安全40（4） 定期對Web服務器進行安全檢查。安全檢查的目的有兩個： 及時

29、發現Web服務器系統的安全缺陷；及時發現入侵蹤跡。2022/8/16 18:06:49Web安全41（5） 輔助工具SSH，是一個網絡遠程登錄的工具，在認證機制和加密傳輸的基礎上提供執行命令，拷貝文件等功能，可以防止IP欺騙，DNS欺騙等。免費的運行于UNIX系統的Tripe Wire，能夠幫助管理員發現被非法篡改的文件。入侵檢測工具，如SATAN；日志審計工具，如Analog。2022/8/16 18:06:49Web安全424.3.3 跟蹤最新安全指南1 及時更新系統軟件和應用軟件的版本，避免已存在漏洞的仍舊使用；2 了解最新發現的安全漏洞和新的攻擊工具的特點，以便做好預防；3 了解、掌握

30、最新的安全保護技術和工具；4 修訂原來的安全策略，引進必要的安全工具。由于各個網站安全需求不同，遭受攻擊的幾率和手段不盡相同，因此系統的安全工作要結合系統本身特點來進行。2022/8/16 18:06:49Web安全434.3.4 意外事件的處理無論多么安全的站點，都可能被破壞，包括前面提到的“電子安全領域最值得信賴的名字”以網絡技術安全著稱的美國RSA安全實驗室站點 ，照樣遭到黑客的攻擊。所以，即使被攻擊了，也要沉著處理意外事件的后續事情。2022/8/16 18:06:49Web安全44第4節 Web瀏覽器安全如果所有的網絡用戶都能夠安分的使用網絡這個美好的工具，那么Web瀏覽器用戶就沒有

31、什么可以擔憂的了，但是，非常不幸共同是，網絡世界是良莠不齊的，是復雜多樣的，可能隨時會受到惡意的攻擊甚至被毀壞。2022/8/16 18:06:49Web安全454.4.1 瀏覽器自動引發的應用1. PostScript文件2. 配置/bin/csh作為查看器3.Javal Applet的安全性4.JavaScript 的安全性5. ActiveX的安全性6.安全對策2022/8/16 18:06:49Web安全461. PostScript文件。該文件命令豐富，如顯示PostScript文件的Ghostview，不僅能夠顯示簡單文本，而且包含了豐富的文件系統命令。PostScript中的op

32、en，create，copy ，delete等命令都可能用于對用戶的不利的目的，甚至還可能引入計算機病毒，感染用戶信息系統。2022/8/16 18:06:49Web安全472. 配置/bin/csh作為查看器用戶在瀏覽器中如果配置/bin/csh作為application/x-csh類型文檔的查看器，就可能帶來一定的安全威脅。許多高端字處理器有一個內嵌式宏處理的功能。誤用字處理宏的一個例子是Microsoft Word的“宏病毒”，它具有像病毒義演的蔓延的能力。2022/8/16 18:06:49Web安全483.Javal Applet的安全性Java是一種可以形成小程序嵌入HTML的語言

33、。Javal Applet在剛開始，減少了Applet 偷看用戶的私有文檔并把它傳回服務器的可能。但是在發行后很短的時間內，就發現了很多bug引起的安全漏洞:（1） 它具有任意執行機器指令的能力，是一個bug；（2） 對拒絕服務攻擊的脆弱性。它搶占系統資源，比如搶占內存，搶占CPU時間等。（3） 具有跟隨意的主機建立連接的能力。這也是一個BUG。2022/8/16 18:06:49Web安全494.JavaScript 的安全性盡管Java 和JavaScript 很相似，但是，它們是兩個完全不同的概念。它也有安全漏洞，通常是破壞用戶的隱私。比如，發現已知的JavaScript的安全漏洞有下面

34、幾個：（1） 能夠截取用戶的電子郵件地址和其他信息（2） 截取用戶本地機器上的文件。有的如Microsoft公司，已經發布了相應的補丁程序。（3） 能夠監視用戶的會話過程。當然，現在的補丁程序已經發布。（4） Frame造成的信息泄漏。（5） 文件上傳的漏洞。當然，盡管漏洞存在，但是，一旦被發現，各個公司相繼會推出一些補丁程序，“堵塞”該漏洞，也就是說，不見得所有漏洞總是存在的。2022/8/16 18:06:49Web安全505. ActiveX的安全性ActiveX對它的控件能夠完成的任務不加限制。反過來，每個ActiveX控件都能夠被它的創造者“簽名”，那么被批準發布的控件是否完全可信？

35、控件有沒有執行暗中的任務？這就是它的安全性的問題所在。很可能一個你下載的信任的ActiveX控件在你的機器上執行了一系列暗中操作，比如將用戶計算機的所有配置信息通過局域網傳送出去等等。2022/8/16 18:06:49Web安全516.安全對策通過上面的安全性可以看出，Web瀏覽器的安全具有很多隱患。所以要有相應的安全對策。在Microsoft IE6.0中，選擇“工具Internet 選項安全自定義級別”，可以在此設置瀏覽器各類腳本的處理如下頁圖:2022/8/16 18:06:49Web安全52在IE6.0中設置各類腳本的安全性2022/8/16 18:06:49Web安全534.4.2

36、 Web中內嵌的惡意代碼由于某些動態頁面以來源不可信的用戶輸入的數據為參數生成頁面，所以web網頁中可能會不經意地包含一些惡意的腳本程序等。如果web服務器不對此進行處理，那么很可能對web服務器和瀏覽器用戶兩方面都帶來安全威脅。即使采用SSL來保護傳輸，也不能阻止這些惡意的代碼的傳輸。2022/8/16 18:06:49Web安全544.4.3 瀏覽器本身的漏洞瀏覽器的功能越來越強大，但是由于程序結構的復雜，在堵住了舊的漏洞的同時，可能又出現了新的漏洞。瀏覽器的安全漏洞可能讓攻擊者獲取磁盤信息，安全口令，甚至破壞磁盤文件系統等。下面舉出幾個已知的瀏覽器安全漏洞：2022/8/16 18:06

37、:49Web安全554.4.3 瀏覽器本身的漏洞(續)1. UNIX下的lynx的一個安全漏洞在Lynx的2.7.1版本之前，都存在著漏洞，只要作一個包含backtick字符的LynxDownLoad URL，它就允許Web創建者在用戶的機器上執行任意的命令。解決這個問題的方法是升級lynx的版本。2. Microsoft Internet Explorer 的安全漏洞3. Netscape的安全漏洞（1）緩沖區溢出漏洞（2）個人喜好漏洞（3）類裝載器漏洞（4）長文件名電子郵件漏洞（5）Singapore隱私漏洞2022/8/16 18:06:49Web安全56Microsoft Internet Explorer 的安全漏洞(1) 緩沖區溢出漏洞在Microsoft Internet Explorer 4和4.01以下的版本，存在一系列的編程漏洞。解決的方法就是安裝補丁程序或者升級瀏覽器版本。(2) 遞歸Frames漏洞在4.x和5.0版本中存在這個漏洞。可能使得瀏覽器崩潰導致不能使用。(3) 快捷方