web服务器攻击与防御系统设计,Web攻击及防御技术.ppt

Web攻击及防御技术要点

* 网络入侵与防范讲义 * 基于Unix系统Web服务器安全配置(2) 有些WEB服务器把WEB的文档目录与FTP目录指在同一目录时，应该注意不要把FTP的目录与CGI-BIN指定在一个目录之下。这样是为了防止一些用户通过FTP上载一些脚本程序，并用WEB的CGI-BIN去执行，造成不良后果。 文件的访问控制：设置好WEB服务器上系统文件的权限和属性，对可让人访问的文档分配一个公用的组，如WWW，并只分配它只读的权利。把所有的HTML文件归属WWW组，由WEB管理员管理WWW组。对于WEB的配置文件仅对WEB管理员有写的权利。 * 网络入侵与防范讲义 * 基于Unix系统Web服务器安全配置(3) 对不同目录设置不同的属性，如：Read、Excute、Write。 在WEB服务器上去掉一些不用的脚本解释器，例如：当在你的CGI的程序中没用到perl时，就尽量把perl在系统解释器中删除掉。 8.8.2 Web浏览者的安全措施 对浏览器的安全性进行设置，以微软IE为例，点击“工具?Internet选项?安全?自定义级别”，打开如图所示的窗口，请根据自己的需要进行设置。 * 网络入侵与防范讲义 * 自动识别图像验证码 图像验证码的识别技术与图像处理、模式识别、人工智能相关。一般通用的算法框架如图所示。 * 网络入侵与防范讲义 * 自动识别图像验证码(2) 可以把识别的流程分为三个阶段： 预处理：彩色去噪、二值变换、黑白去噪 字符分割(图片分割) 字符识别：特征表示、建立模板库、识别 * 网络入侵与防范讲义 * 彩色去噪 彩色去噪算法有多种选择，如彩色图像中值滤波、粗糙集理论的滤波、矢量滤波等等。 但注意这些都是普适性的算法，在处理分辨率较低的验证码图片时可能会造成不希望的损失，所以应加入自己的改造措施来避免对于某些验证码的滤波损失。 彩色去噪属于图像处理技术，如果对此感兴趣，可以自行学习相关技术。 * 网络入侵与防范讲义 * 二值变换 二值变换是按照灰度转换公式把彩色bmp图像转换成灰度图像。 二值变换也属于图像处理技术，请自行学习。 * 网络入侵与防范讲义 * 黑白去噪 黑白去噪算法相对简单，对于某黑色的像素点，可以视其周围的白色象素点个数来判断其是否为噪声。 * 网络入侵与防范讲义 * 字符分割 如果验证码各字符的坐标位置和字符大小都是固定的，那么，只需截取指定起点位置、指定长宽值的矩形区域与各模板逐个比对，匹配度最高的数字即为识别结果。 如果验证码各字符的位置不固定，那么可以采用滑动窗口的办法：在指定区域内，滑动截取不同起点位置、指定长宽值的矩形，不断与模板相比对，匹配度最高的数字即为识别结果，对应的起点位置则为字符的坐标。 * 网络入侵与防范讲义 * 字符识别 识别算法一般依靠模板库。建立模板库首先进行特征提取，然后把该特征作为样本存储在模板库中，提取的特征可以是0和1字符串，也可以是映射直方图等等。 最后利用生成的模板库，进行基于匹配的识别过程。 * 网络入侵与防范讲义 * 8.7.3 验证码识别工具演示 下载地址： 该工具可以识别较简单的验证码，识别率并非百分之百！ * 网络入侵与防范讲义 * 8.7.4 防范验证码攻击 对基于验证码的表单提交流程，应该： 任何时候，都不应当使用安全性很差的文本验证码； 应尽量不使用手机验证码、邮件验证码，以避免手机/邮件DoS攻击； 建议使用安全性较高的图片验证码。 * 网络入侵与防范讲义 * 防范验证码攻击(2) 事实上，对图片验证码的识别与光学字符识别(optical character recognition，OCR)技术在本质上是完全相同的。而在OCR领域，目前对印刷体(数字、西文字母，甚至汉字)的识别技术已经相当成熟。因此，图片验证码面临的安全形势相当严峻。 考虑到目前OCR技术中尚存在一些不够成熟的领域，如脱机手写体的识别、多语言文字混排的识别、退化严重的文字识别等，建议在图片验证码的设计中，加强以下几方面的变化：扩展字符集(可以考虑用汉字作为字符集)；随机变化字体和字符大小；随机设定字符的倾斜程度；随机设置字符坐标位置；增强背景混淆等。 * 网络入侵与防范讲义 * 防范验证码攻击(3) 此外，应该着重设计那些程序难以区分的难点： 巧妙的设计背景灰度，使得程序很难对背景与字符有效区分，但人眼却可以轻松分辨出灰度的差异； 避免字符左右规矩的排列，而应有一定的上下累叠，使得横向上没有办法简单的切割； 点状或者团状的噪声容易被程序识别，而特别设计的线条型噪声，自动识别程序就很难有效的去噪。 * 网络入侵与防范讲义 * 防范验证码攻击(4) 还可以加入更多的随机性： 字符位置随机出现以防止定制的切割； 字符字体大小的随机性； 字符的形态随机生成以降低匹配效果； GIF动画图片是一