1.服务器的风险
通常的网络安全总是设置各种各样的限制,使得不明身份的人无法获得非授权的服务但是Web服务器恰恰相反,它希望接受尽可能多的客户,对客户几乎没有任何限制和要求,好 了,这样,相对于其他网络服务器,Web是最容易受到攻击的。最常见的威胁是HTTP服务器软件中的bug、错误的配置、不安全的CGI程序或者缺乏强大的机密功能等等。服务器通常受到的侵害有:修改和替换服务器提供的内容;获得对服务器访问控制保护的保密文档的访问权;在服务器上执行任意命令并破坏服务器的系统安全;检查日志文件来危害用户的隐私;进行服务拒绝攻击,使服务器或者网络连接失败。
2.客户端风险
浏览网页是一个并不十分安全的活动。Bug、不合适的“活跃内容”和脚本以及服务器管理可以带给浏览者如下危害:应用程序和系统崩溃;包括病毒和特洛一木马在内的恶意代码;丢失保密的信息;隐私被侵犯等等。
主要的Web浏览器都支持下载嵌在HTML主页中的脚本并在浏览器中执行他们的功能。通常,这些程序用来与用户交互并在浏览器和服务器之间传输信息。例如,在Netscape的javascript和微软的Vbscript中都存在过bug。甚至在没有bug时,对一个有恶意的Web管理员来说,把能够突破保密措施或引起严重损失的脚本放在HTML主页中也是挺容易的。一种常见的攻击方式是创建一个javascript来欺骗性的产生一个错误信息或一个提示来要求用户提供网络登录ID和口令。其他的客户风险来自于隐私的侵犯。许多Web站点为客户写了一个验证cookie,cookie可以跟踪用户并暴露他们去了什么站点。按照指定cookie处理的RFC的要求,客户软件应提供一种方式来指明cookie应该或不应该被保存的域。
3.传输安全
在Web客户机和Web服务器之间传输的信息可能在连接的任一端或中间任何地方被窃听或截取,包括客户机的LAN、服务器的LAN、客户机的ISP、服务器的ISP、两个ISP之间的任何中介网络。 幸运的是,目前IPSec(IP协议安全体系结构)的提出,使得网络通信可以通过在IP层进行认证和加密。但是目前还没有普及。
