資訊安全 ( 96/09/20 )

一.WWW上的安全問題
1.ActiveeX - 驗證程式碼是否有簽章認可，但無法判別程式碼內容
2.Java程式語言 - 因為賦予程式權限，有可能導致被濫用，如：自動開啟多個視窗
3.JavaScript - 常用在驗證使用者輸入內容，可能會被攻擊者嵌入網頁，來竊取使用者資料
☆如您正在輸入帳號密碼的網頁，但實際上是在攻擊者的類似網頁上
二.伺服器上的危險
1.CGI描述檔 - 使用者填完網頁表單，送出表單內容時，被變更輸出電子郵件名稱
2伺服器主機 - 因儲存在機器上，有可能未加密，通常機器本身放在DMZ中
☆DMZ網路 - 內部 → 防火牆 → WWW伺服器 → 防火牆 → 網際網路
3.選擇伺服器 -建議建立唯獨的網頁伺服器 ，或者是自己撰寫的伺服器
三.網路上攻擊的類型
1.竊取密碼 - 利用電腦重複輸入密碼
2.社交工程 - 利用關係去探聽或要求，變更使用者密碼
3.程式錯誤與後門 - 網際網路蠕蟲，堆疊衝擊
4.指數式攻擊-病毒（依附在其他程式上）與蠕蟲（程式自己複製自己）
5.網路連結上的攻擊 - 最簡單的攻擊，讓網路連結過載，郵件封包攻擊
6.攻擊網路層 - 攻擊TCP/IP的效能落點或程式錯誤
★網路七大層級
☆Application Layer 應用層
☆Presentation Layer 表現層
☆Session Layer 會議層
☆Transport Layer 傳輸層
☆Net-Work Layer 網路層
☆Data-Link Layer 資料-連結層
☆Physical Layer 實體層