HTTP安全風(fēng)險(xiǎn)是什么意思

萬(wàn)維網(wǎng)聯(lián)盟是一個(gè)由Jeffrey Jaffe和萬(wàn)維網(wǎng)發(fā)明人Tim Berners Lee運(yùn)營(yíng)的國(guó)際網(wǎng)絡(luò)社區(qū)，1999年的一份備忘錄記錄了與HTTP/1.1相關(guān)的許多不同的安全考慮因素和潛在攻擊向量：

個(gè)人信息泄露：理想情況下，網(wǎng)站應(yīng)該提供一個(gè)界面，允許用戶控制他們?cè)诰W(wǎng)站上輸入的個(gè)人信息的披露水平，但情況并非總是如此，最終用戶依賴于網(wǎng)站管理員的設(shè)計(jì)靈感。

濫用服務(wù)器日志信息：Web服務(wù)器記錄網(wǎng)站訪問(wèn)者的導(dǎo)航行為。此信息可能用于收集有關(guān)最終用戶的私人信息

敏感信息的不安全傳輸：HTTP無(wú)法調(diào)節(jié)通過(guò)它傳輸?shù)臄?shù)據(jù)的實(shí)際內(nèi)容

在URL中對(duì)敏感信息進(jìn)行編碼：鏈接的源可能是私有信息，或者無(wú)意中泄漏了私有信息源。

與接受請(qǐng)求頭相關(guān)聯(lián)的隱私問(wèn)題：另一類數(shù)據(jù)，可能用于與其他數(shù)據(jù)源進(jìn)行三角測(cè)量以識(shí)別最終用戶。這種隱私權(quán)的喪失在服務(wù)器端是安全的，但最終用戶的信息同樣要由網(wǎng)站管理員來(lái)決定。

基于文件名和路徑名的攻擊：在不安全的系統(tǒng)中，壞的參與者可以獲取他們可以訪問(wèn)的內(nèi)容的URL，例如“site.com/resource/profile/jon profile.docx”，并在分類法中導(dǎo)航，以便在技術(shù)上不應(yīng)該訪問(wèn)/profile/目錄時(shí)訪問(wèn)它們。

DNS欺騙：HTTP嚴(yán)重依賴域名服務(wù)，它將域名（如brightedge.com）與底層IP地址關(guān)聯(lián)起來(lái)。不好的參與者會(huì)故意將IP地址DNS對(duì)與“欺騙”DNS相關(guān)聯(lián)，從而將用戶從他們打算導(dǎo)航到完全不同的站點(diǎn)。

位置頭和欺騙：類似于DNS欺騙問(wèn)題，托管多個(gè)彼此沒(méi)有關(guān)聯(lián)的組織的服務(wù)器必須檢查位置頭和內(nèi)容位置頭的值，以確保這些組織不會(huì)試圖侵犯他們不擁有的資源。

身份驗(yàn)證憑據(jù)和空閑Web客戶端：HTTP沒(méi)有客戶端丟棄緩存身份驗(yàn)證憑據(jù)的方法

HTTP代理和緩存（“中間人”攻擊）

對(duì)代理的拒絕服務(wù)攻擊（Ddos）

二、如何解決HTTP安全風(fēng)險(xiǎn)？

采用HTTPS是解決安全風(fēng)險(xiǎn)最有效也是最簡(jiǎn)單的方法。你只需要購(gòu)買一張HTTPS證書（SSL證書），部署到你的服務(wù)器上，客戶端通過(guò)瀏覽器訪問(wèn)，就可以通過(guò)HTTPS進(jìn)行訪問(wèn)了，此時(shí)，客戶端與服務(wù)器端的數(shù)據(jù)交互。全部為密文，而且SSL證書的域名將根據(jù)你的瀏覽器的域名進(jìn)行匹配，瀏覽器會(huì)自動(dòng)組織DNS攻擊，這樣就能輕松防范HTTP安全風(fēng)險(xiǎn)。

網(wǎng)頁(yè)題目：HTTP安全風(fēng)險(xiǎn)是什么
網(wǎng)頁(yè)鏈接：http://m.kartarina.com/news41/200541.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供響應(yīng)式網(wǎng)站、微信公眾號(hào)、關(guān)鍵詞優(yōu)化、App開發(fā)、網(wǎng)站維護(hù)、網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)