第一篇：Web安全之網(wǎng)頁(yè)木馬的檢測(cè)與防御

Web安全之網(wǎng)頁(yè)木馬的檢測(cè)與防御

隨著Web2.0、社交網(wǎng)絡(luò)、微博等等一系列新型的互聯(lián)網(wǎng)產(chǎn)品的誕生，基于Web環(huán)境的互聯(lián)網(wǎng)應(yīng)用越來(lái)越廣泛，企業(yè)信息化的過(guò)程中各種應(yīng)用都架設(shè)在Web平臺(tái)上，Web業(yè)務(wù)的迅速發(fā)展也引起黑客們的強(qiáng)烈關(guān)注，接踵而至的就是Web安全威脅的凸顯，黑客利用網(wǎng)站操作系統(tǒng)的漏洞和Web服務(wù)程序的SQL注入漏洞等得到Web服務(wù)器的控制權(quán)限，輕則篡改網(wǎng)頁(yè)內(nèi)容，重則竊取重要內(nèi)部數(shù)據(jù)，更為嚴(yán)重的則是在網(wǎng)頁(yè)中植入惡意代碼，使得網(wǎng)站訪問(wèn)者受到侵害。在Web安全的攻擊種類(lèi)中，網(wǎng)頁(yè)木馬一直是一個(gè)不容忽視的問(wèn)題。黑客把一個(gè)木馬程序上傳到一個(gè)網(wǎng)站里面然后用木馬生成器生一個(gè)網(wǎng)馬，再上到空間里面，再加代碼使得木馬在打開(kāi)網(wǎng)頁(yè)里運(yùn)行，從而獲取用戶的隱私信息。隨著網(wǎng)頁(yè)木馬破壞性的增大，人們對(duì)網(wǎng)頁(yè)木馬的重視程度也在逐漸增加。網(wǎng)頁(yè)木馬簡(jiǎn)介

1.1網(wǎng)頁(yè)木馬的定義

網(wǎng)頁(yè)木馬是在宏病毒、木馬等惡意代碼基礎(chǔ)上發(fā)展出來(lái)的一種新形態(tài)的惡意代碼.類(lèi)似于宏病毒通過(guò)Word 等文檔中的惡意宏命令實(shí)現(xiàn)攻擊.網(wǎng)頁(yè)木馬一般通過(guò)HTML 頁(yè)面中的一段惡意腳本達(dá)到在客戶端下載、執(zhí)行惡意可執(zhí)行文件的目的,而整個(gè)攻擊流程是一個(gè)“特洛伊木馬式”的隱蔽的、用戶無(wú)察覺(jué)的過(guò)程,因此,國(guó)內(nèi)研究者通常稱該種攻擊方式為“網(wǎng)頁(yè)木馬”.目前,學(xué)術(shù)界對(duì)網(wǎng)頁(yè)木馬尚無(wú)一個(gè)明確的、統(tǒng)一的定義.Wiki 將它定義為一種用戶不知情的下載,發(fā)生的場(chǎng)景可以是用戶閱覽郵件、訪問(wèn)網(wǎng)站頁(yè)面以及點(diǎn)擊一個(gè)欺詐性的彈出框時(shí),等等,該定義屬于字面解釋,包括的內(nèi)容比較寬泛,如利用社會(huì)工程學(xué)手段欺騙用戶下載也屬于其涵蓋范圍.此外,Wiki 還用Drive-by-Install 這一術(shù)語(yǔ)來(lái)表示下載并安裝惡意程序的過(guò)程;Google 的Provos 等人將網(wǎng)頁(yè)木馬限定為客戶端在訪問(wèn)頁(yè)面時(shí)受到攻擊并導(dǎo)致惡意可執(zhí)行文件的自動(dòng)下載、執(zhí)行,該定義指出了“訪問(wèn)頁(yè)面時(shí)受到攻擊”和“自動(dòng)下載、自動(dòng)執(zhí)行惡意可執(zhí)行文件”兩個(gè)關(guān)鍵點(diǎn);UCSB 的Cova 等人進(jìn)一步指出,網(wǎng)頁(yè)木馬是以一段JavaScript 代碼作為攻擊向量的一種客戶端攻擊方式,而實(shí)際上,還存在一些通過(guò)CSS 元素、VBScript 腳本發(fā)起攻擊的網(wǎng)頁(yè)木馬。

綜上所述,網(wǎng)頁(yè)木馬定義為:一種以JavaScript,VBScript,CSS 等頁(yè)面元素作為攻擊向量,利用瀏覽器及插件中的漏洞,在客戶端隱蔽地下載并執(zhí)行惡意程序的基于Web 的客戶端攻擊。

1.2網(wǎng)頁(yè)木馬的攻擊流程

網(wǎng)頁(yè)木馬采用一種被動(dòng)攻擊模式(即pull-based 模式):攻擊者針對(duì)瀏覽器及插件的某個(gè)特定漏洞構(gòu)造、部署好攻擊頁(yè)面之后,并不像發(fā)送垃圾郵件那樣主動(dòng)將內(nèi)容推送給受害用戶(即push-based 模式),而是被動(dòng)地等待客戶端發(fā)起的頁(yè)面訪問(wèn)請(qǐng)求.其典型攻擊流程如圖1 所示:1.客戶端訪問(wèn)攻擊頁(yè)面;2.服務(wù)器做出響應(yīng),將頁(yè)面內(nèi)容返回給客戶端;3.頁(yè)面被瀏覽器加載、渲染,頁(yè)面中包含的攻擊向量在瀏覽器中被執(zhí)行并嘗試進(jìn)行漏洞利用;4,5.存在該漏洞的客戶端被攻破,進(jìn)而下載、安裝、執(zhí)行惡意程序。

從網(wǎng)頁(yè)木馬的攻擊流程可以看出,網(wǎng)頁(yè)木馬是一種更加隱蔽、更加有效的向客戶端傳播惡意程序的手段:相比較蠕蟲(chóng)以主動(dòng)掃描等方式來(lái)定位受害機(jī)并向其傳播惡意程序,網(wǎng)頁(yè)木馬采用一種“守株待兔”的方式等待客戶端主動(dòng)對(duì)頁(yè)面發(fā)出訪問(wèn)請(qǐng)求,這種被動(dòng)式的攻擊模式能夠有效地對(duì)抗入侵檢測(cè)、防火墻等系統(tǒng)的安全檢查.1.3可能被網(wǎng)頁(yè)木馬利用的漏洞

1．利用URL格式漏洞

此類(lèi)網(wǎng)頁(yè)木馬是利用URL格式漏洞來(lái)欺騙用戶。構(gòu)造一個(gè)看似JPG格式的文件誘惑用戶下載，但事實(shí)上用戶下載的卻是一個(gè)EXE文件。此類(lèi)攻擊，具有相當(dāng)?shù)碾[蔽性，利用URL欺騙的方法有很多種，比如起個(gè)具有誘惑性的網(wǎng)站名稱或使用易混的字母數(shù)字掉包進(jìn)行銀行網(wǎng)絡(luò)釣魚(yú)，還有漏洞百出的“%30%50”之類(lèi)的Unicode編碼等等。2.通過(guò)ActiveX控件制作網(wǎng)頁(yè)木馬。

通過(guò) ActiveX 把普通的軟件轉(zhuǎn)化為可以在主頁(yè)直接執(zhí)行的軟件的網(wǎng)頁(yè)木馬，此類(lèi)網(wǎng)頁(yè)木馬對(duì)所有的系統(tǒng)和IE版本都有效，缺點(diǎn)是瀏覽網(wǎng)頁(yè)木馬時(shí)會(huì)彈出對(duì)話框，詢問(wèn)是否安裝此插件。病毒作者通常是偽造微軟、新浪、Google等知名公司的簽名，偽裝成它們的插件來(lái)迷惑用戶。

3.利用WSH的缺陷

利用WSH修改注冊(cè)表，使IE安全設(shè)置中“沒(méi)有標(biāo)記為安全的的activex控件和插件”的默認(rèn)設(shè)置改為啟用，然后再利用一些可以在本地運(yùn)行EXE程序的網(wǎng)頁(yè)代碼來(lái)運(yùn)行病毒。它的危害在于，可以利用IE的安全漏洞提升權(quán)限達(dá)到本地運(yùn)行任意程序的后果。4.利用MIME漏洞制做的網(wǎng)頁(yè)木馬。

它利用了Microsoft Internet Explorer中MIME/BASE64處理的漏洞，MIME(Multipurpose Internet Mail Extentions)，一般譯作“多用途的網(wǎng)絡(luò)郵件擴(kuò)充協(xié)議”。顧名思義，它可以傳送多媒體文件，在一封電子郵件中附加各種格式文件一起送出?，F(xiàn)在它已經(jīng)演化成一種指定文件類(lèi)型(Internet的任何形式的消息：E-mail，Usenet新聞和Web)的通用方法。在使用CGI程序時(shí)你可能接觸過(guò) MIME類(lèi)型，其中有一行叫作Content-type的語(yǔ)句，它用來(lái)指明傳遞的就是MIME類(lèi)型的文件(如text/html或 text/plain)。MIME在處理不正常的MIME類(lèi)型時(shí)存在一個(gè)問(wèn)題，攻擊者可以創(chuàng)建一個(gè)Html格式的E-mail，該E-mail的附件為可執(zhí)

行文件，通過(guò)修改MIME頭，使IE不能正確處理這個(gè)MIME所指定的可執(zhí)行文件附件。5．利用系統(tǒng)的圖片處理漏洞

這是種只要瀏覽圖片就可以傳播的網(wǎng)頁(yè)木馬。這種木馬是把一個(gè)EXE文件偽裝成一個(gè)BMP或JPG圖片文件,在網(wǎng)頁(yè)中添加如 的代碼來(lái)欺騙IE自動(dòng)下載,然后利用網(wǎng)頁(yè)中的Java Script腳本查找客戶端的Internet臨時(shí)文件夾,尋找下載的BMP格式文件,把它拷貝到TEMP目錄.再利用腳本把找到的BMP文件用 DEBUG還原成EXE,并添加到注冊(cè)表啟動(dòng)項(xiàng)中,達(dá)到隨系統(tǒng)的目的。6．HTML文件木馬

首先利用工具把EXE格式的文件轉(zhuǎn)化成HTML文件的木馬，這樣.EXE文件看起來(lái)就變成了Htm文件，欺騙訪問(wèn)者訪問(wèn)假冒的Htm文件從而達(dá)到運(yùn)行病毒的目的。它和BMP網(wǎng)頁(yè)木馬運(yùn)用了同一個(gè)原理，也會(huì)利用JAVASCRIPT腳本和debug程序來(lái)轉(zhuǎn)換回EXE文件 7.IFRAME溢出

IE IFRAME漏洞利用了MS05020中提到的IE溢出漏洞，IE在處理iframe標(biāo)簽的時(shí)候，會(huì)調(diào)用一個(gè)叫作SHDOCVW！CBaseBrowser2：：SetFramName函數(shù)來(lái)進(jìn)行unicode copy（wcscpy），在拷貝iframe的name時(shí)，沒(méi)有進(jìn)行邊界檢查，構(gòu)造惡意的代碼就會(huì)導(dǎo)致IE的溢出。

8.Microsoft Internet Explorer Javaprxy.DLL COM對(duì)象堆溢出漏洞

Microsoft Internet Explorer存在一個(gè)堆溢出漏洞。當(dāng)一個(gè)惡意的網(wǎng)頁(yè)實(shí)例化'javaprxy.dll' COM對(duì)象時(shí)，可能導(dǎo)致堆溢出，成功利用該漏洞能夠在客戶端上下載執(zhí)行任意代碼。網(wǎng)頁(yè)木馬的主要檢測(cè)技術(shù)

在互聯(lián)網(wǎng)中大規(guī)模進(jìn)行頁(yè)面檢查,檢測(cè)出被掛馬頁(yè)面,是網(wǎng)頁(yè)木馬防御的重要環(huán)節(jié):一方面,可以通知被掛馬網(wǎng)站的管理員及時(shí)清除頁(yè)面中嵌入的惡意內(nèi)容,從而改善互聯(lián)網(wǎng)瀏覽環(huán)境;另一方面,有助于讓防御方掌握網(wǎng)頁(yè)掛馬的范圍、趨勢(shì)以及捕獲最新的網(wǎng)頁(yè)木馬樣本.2.1監(jiān)測(cè)基本思想

大規(guī)模網(wǎng)頁(yè)掛馬檢測(cè)的基本思路為:使用爬蟲(chóng)爬取互聯(lián)網(wǎng)頁(yè)面,將爬取到的URL 輸入到檢測(cè)環(huán)境——客戶端蜜罐中進(jìn)行網(wǎng)頁(yè)木馬檢測(cè).客戶端蜜罐(client honeypot)這一概念首先由國(guó)際蜜網(wǎng)項(xiàng)目組(The HoneynetProject)的Spitzner 針對(duì)網(wǎng)頁(yè)木馬這種被動(dòng)式的客戶端攻擊而提出.在網(wǎng)頁(yè)掛馬檢測(cè)時(shí),客戶端蜜罐根據(jù)URL 主動(dòng)地向網(wǎng)站服務(wù)器發(fā)送頁(yè)面訪問(wèn)請(qǐng)求,并通過(guò)一定的檢測(cè)方法分析服務(wù)器返回的頁(yè)面是否帶有惡意內(nèi)容.在互聯(lián)網(wǎng)中大規(guī)模進(jìn)行網(wǎng)頁(yè)掛馬檢測(cè)有兩個(gè)關(guān)鍵點(diǎn): 1)提高爬蟲(chóng)爬取的覆蓋率,這方面可以通過(guò)采用大規(guī)模的計(jì)算平臺(tái)、設(shè)計(jì)均衡的并行爬取分配策略等來(lái)實(shí)現(xiàn)

2)在客戶端蜜罐中實(shí)現(xiàn)高效、準(zhǔn)確的網(wǎng)頁(yè)木馬檢測(cè)方法。

2.2主要監(jiān)測(cè)方法

? 基于反病毒引擎掃描的檢測(cè)

基于反病毒引擎掃描是研究人員進(jìn)行網(wǎng)頁(yè)掛馬檢測(cè)時(shí)較早使用的方法,該方法主要基于規(guī)則或特征碼匹配來(lái)檢測(cè)頁(yè)面中是否含有惡意內(nèi)容.該方法的優(yōu)點(diǎn)在于可以快速地對(duì)頁(yè)面進(jìn)行檢測(cè),但其缺點(diǎn)在于存在較高的漏報(bào)率:一方面,僅僅依賴一種純靜態(tài)的特征匹配無(wú)法對(duì)抗網(wǎng)頁(yè)木馬為了提高隱蔽性而普遍采用的混淆免殺機(jī)制,根據(jù)互聯(lián)網(wǎng)安全技術(shù)北京市重點(diǎn)實(shí)驗(yàn)室在2008 年底作的統(tǒng)計(jì)發(fā)現(xiàn),9 款國(guó)內(nèi)外主流反病毒軟件對(duì)在中國(guó)互聯(lián)網(wǎng)上發(fā)現(xiàn)的網(wǎng)頁(yè)木馬樣本最高僅達(dá)到36.7%的檢測(cè)率;另一方面,研究人員通常僅對(duì)單頁(yè)面進(jìn)行掃描,而不進(jìn)一步檢測(cè)頁(yè)面動(dòng)態(tài)視圖中的內(nèi)嵌腳本/內(nèi)嵌頁(yè)面,從而無(wú)法有效檢測(cè)出被掛馬頁(yè)面.? 基于行為特征的檢測(cè)

基于行為特征的網(wǎng)頁(yè)木馬檢測(cè)方法通常被用于高交互式客戶端蜜罐中:即在檢測(cè)環(huán)境中安裝真實(shí)瀏覽器和一些帶有漏洞的插件,驅(qū)動(dòng)瀏覽器訪問(wèn)待檢測(cè)頁(yè)面,通過(guò)監(jiān)測(cè)頁(yè)面訪問(wèn)時(shí)注冊(cè)表變化、文件系統(tǒng)變化、新建進(jìn)程等行為特征來(lái)判定頁(yè)面是否被掛馬.為了便于感染后快速恢復(fù)以及防止惡意程序在本地網(wǎng)絡(luò)中的傳播,高交互式客戶端蜜罐一般部署在虛擬機(jī)中并作一定的網(wǎng)絡(luò)隔離.? 基于統(tǒng)計(jì)或機(jī)器學(xué)習(xí)的檢測(cè)

由于網(wǎng)頁(yè)木馬經(jīng)常對(duì)惡意腳本進(jìn)行混淆來(lái)躲避基于特征碼的檢測(cè),一種檢測(cè)思路是按照頁(yè)面的混淆程度來(lái)進(jìn)行惡意性判斷.文獻(xiàn)提出了基于判斷矩陣法的惡意腳本檢測(cè)方法,但該方法僅對(duì)經(jīng)過(guò)encode escape 函數(shù)混淆的惡意腳本有效.隨著越來(lái)越多的大型網(wǎng)站為保障代碼知識(shí)產(chǎn)權(quán)都對(duì)自己的腳本進(jìn)行了一定的混淆或加密,因此,這類(lèi)按照混淆程度進(jìn)行惡意性判定的方法會(huì)帶來(lái)較多的誤報(bào).? 基于漏洞模擬的檢測(cè)

該類(lèi)方法的典型代表是PHoneyC.PHoneyC 在低交互式客戶端蜜罐環(huán)境中解析頁(yè)面并用一個(gè)獨(dú)立的腳本引擎執(zhí)行提取出的腳本,通過(guò)在腳本引擎上下文中模擬出一些已知的漏洞插件,并結(jié)合運(yùn)行時(shí)參數(shù)檢查來(lái)檢測(cè)惡意腳本.作為低交互式客戶端蜜罐,PhoneyC 比高交互式客戶端蜜罐更迅速、更容易加載(模擬)更多的漏洞模塊甚至同一漏洞模塊的不同版本.但是PhoneyC 也具有其自身局限性:由于采用一個(gè)獨(dú)立的腳本引擎,腳本執(zhí)行過(guò)程中常常由于缺少頁(yè)面上下文環(huán)境或?yàn)g覽器提供給腳本的一些API 而導(dǎo)致腳本執(zhí)行失敗、檢測(cè)被迫停止.此外,PhoneyC 只能模擬已知的漏洞插件,無(wú)法檢測(cè)利用零日漏洞的惡意腳本.在網(wǎng)頁(yè)掛馬檢測(cè)中,低交互式客戶端蜜罐中的基于反病毒引擎掃描、基于統(tǒng)計(jì)或機(jī)器學(xué)習(xí)、基于漏洞模擬等方法和高交互式客戶端蜜罐中的基于行為特征的檢測(cè)方法各有優(yōu)缺點(diǎn):低交互式客戶端蜜罐的實(shí)現(xiàn)和配置靈活、便于擴(kuò)展;高交互式客戶端蜜罐主要根據(jù)行為特征進(jìn)行檢測(cè),誤報(bào)率相對(duì)較低,但時(shí)間代價(jià)和系統(tǒng)代價(jià)比較大.3 網(wǎng)頁(yè)木馬防御技術(shù)研究

網(wǎng)頁(yè)木馬都是利用漏洞來(lái)執(zhí)行本不應(yīng)該執(zhí)行的代碼，而這些代碼都需要下載一個(gè)原生型木馬到受害機(jī)執(zhí)行，這個(gè)木馬程序就是服務(wù)端。如果能攔截掉惡意代碼的執(zhí)行、木馬的下載及木馬的運(yùn)行中的任意一步，就可有效地防御網(wǎng)頁(yè)木馬。攔截惡意代碼的執(zhí)行可以通過(guò)為系統(tǒng)及應(yīng)用軟件打補(bǔ)丁，封堵系統(tǒng)漏洞或通過(guò)殺毒軟件來(lái)實(shí)現(xiàn)，但它們都存在一定的不可靠性。

下面是綜合各種網(wǎng)頁(yè)木馬的攻擊手段與攻擊方式而提出的一些應(yīng)對(duì)方法，能夠從各個(gè)角度堵住網(wǎng)頁(yè)木馬的下載與運(yùn)行。

3.1系統(tǒng)安全配置

及時(shí)給系統(tǒng)及應(yīng)用軟件打上補(bǔ)丁，讓網(wǎng)頁(yè)木馬無(wú)漏洞可利用，可將中網(wǎng)頁(yè)木馬的幾率降到最低。經(jīng)常關(guān)注最新漏洞的一些信息，有助于及時(shí)防止漏洞被網(wǎng)頁(yè)木馬制作者利用;打開(kāi)操作系統(tǒng)的自動(dòng)更新功能，如果微軟公司提供新的漏洞補(bǔ)丁可以及時(shí)自動(dòng)下載并安裝。

3.2瀏覽器安全配置

IE是占據(jù)市場(chǎng)份額最多的瀏覽器，它支持多種類(lèi)型的網(wǎng)頁(yè)文件，例如HTML,DHTML, ActiveX, Java, JavaScript, VBScript, CSS等格式的文件。而正是由于對(duì)這些格式文件的支持，使得IE經(jīng)常由于各種漏洞的產(chǎn)生飽受攻擊，如果我們確定不需要運(yùn)行一些格式文件，我們可以在IE瀏覽器中“Internet選項(xiàng)一>安全一>自定義級(jí)別”頁(yè)面里面設(shè)置相應(yīng)的配置，對(duì)一些不必要的加載和設(shè)置進(jìn)行取消，即提高瀏覽器安全級(jí)別。

上網(wǎng)瀏覽時(shí)我們經(jīng)常會(huì)遇到提示是否安裝第三方軟件，這些第三方軟件可以完成某些特殊的功能，如Google工具條、3721網(wǎng)絡(luò)助手等，這些軟件也可能隱含漏洞，可以在IE的工具一>Internet選項(xiàng)一>高級(jí)中取消/啟用第三方瀏覽器擴(kuò)展。

3.3使用第三方瀏覽器

由于目前互聯(lián)網(wǎng)上常見(jiàn)的網(wǎng)頁(yè)木馬所使用的是針對(duì)IC瀏覽器及其ActiveX控件的漏洞，因此，使用Firefox/Opera等非工E內(nèi)核的第三方瀏覽器可以從源頭上堵住網(wǎng)頁(yè)木馬的攻擊;不過(guò)第三方瀏覽器在頁(yè)面兼容性上稍遜IE瀏覽器，而且一些特別的網(wǎng)頁(yè)，如各種使用ActiveX密碼登陸控件的網(wǎng)上銀行不能使用第三方瀏覽器登陸，因此也需要綜合考慮取舍。

3.4安裝安全工具

安全工具軟件包括防火墻、殺毒軟件、HIPS(Host Intrusion Prevent System)以及其他一些專(zhuān)門(mén)用途的安全軟件。這些工具從網(wǎng)絡(luò)到主機(jī)，從RingO到Ring3,從防病毒到防流氓軟件等不同的角度來(lái)保護(hù)計(jì)算機(jī)的安全。防火墻可以防止他人在未授權(quán)的情況下連結(jié)到本機(jī)上，殺毒軟件掃描指定的文件和內(nèi)存，通過(guò)與病毒庫(kù)的比較查殺病毒，H工PS能監(jiān)控計(jì)算機(jī)中程序的運(yùn)行和對(duì)文件的訪問(wèn)以及對(duì)注冊(cè)表的修改，并向你提出是否許可警示，如果你阻止了，它將無(wú)法進(jìn)行運(yùn)行或更改。

3.5禁用遠(yuǎn)程注冊(cè)表服務(wù)

遠(yuǎn)程注冊(cè)表服務(wù)Remote Registry Service可以使得遠(yuǎn)程用戶修改或查看本地計(jì)算機(jī)的注冊(cè)表信息。木馬在利用各種手段誘使受害機(jī)下載木馬到本地后還遠(yuǎn)遠(yuǎn)不夠，還必須想辦法讓木馬運(yùn)行起來(lái)，但一般情況下遠(yuǎn)程客戶是沒(méi)有權(quán)限運(yùn)行當(dāng)前機(jī)子的文件的，而遠(yuǎn)程注冊(cè)表服務(wù)則使得遠(yuǎn)程用戶利用在注冊(cè)表中添加開(kāi)機(jī)啟動(dòng)信息而達(dá)到木馬程序的自動(dòng)加載，在受害機(jī)下次啟動(dòng)之后，攻擊者便可以實(shí)施攻擊。因此我們可以選擇關(guān)閉遠(yuǎn)程注冊(cè)表服務(wù)，這樣即便攻擊者成功實(shí)現(xiàn)了木馬的掛載，但由于無(wú)法讓木馬運(yùn)行起來(lái)，無(wú)法實(shí)施攻擊，這樣用戶的安全就得到了保證。總的來(lái)說(shuō)這個(gè)服務(wù)就是用來(lái)使遠(yuǎn)程機(jī)器可以管理本機(jī)的注冊(cè)表(前提是有本地機(jī)器中有該權(quán)限的用戶的用戶名和密碼)，一旦該服務(wù)關(guān)閉，遠(yuǎn)程用戶將不能訪問(wèn)本機(jī)的注冊(cè)表，其他一些依賴這個(gè)服務(wù)的程序(或其他服務(wù))也將受到影響，因此也有一定的負(fù)面作用。

3.6過(guò)濾指定網(wǎng)頁(yè)

IE瀏覽器Internet選項(xiàng)提供了一個(gè)可以添加信任與不信任網(wǎng)站的站點(diǎn)，對(duì)安全性要求高的網(wǎng)絡(luò)和設(shè)備可以采取白名單管理方式，把認(rèn)為安全的網(wǎng)站添加到白名單列表中管理，其他的則完全不同意訪問(wèn)，這樣用戶瀏覽的網(wǎng)站只能瀏覽安全的網(wǎng)站，故而不可能中網(wǎng)頁(yè)木馬。如果安全性要求相對(duì)較低的情況下可以添加黑名單的管理方式，只把用戶認(rèn)為不安全或不能確信是否安全的網(wǎng)站添加到黑名單中，那瀏覽器在瀏覽過(guò)程中可以自動(dòng)屏蔽這些網(wǎng)址，那也就切斷了本機(jī)與網(wǎng)頁(yè)木馬聯(lián)系，除去了中網(wǎng)頁(yè)木馬的可能性。

3.7卸載或升級(jí)WSH WSH是造成很多網(wǎng)頁(yè)木馬橫行其道的原因，而且危害性非常大，如果卸載了WSH則可以控制很多網(wǎng)頁(yè)木馬的操作，但WSH的正面作用也非常大，如負(fù)責(zé)對(duì)實(shí)現(xiàn)網(wǎng)頁(yè)動(dòng)態(tài)交互功能的JavaScript等腳本語(yǔ)言的支持，如果完全卸載會(huì)使得一些原本需要的功能無(wú)法實(shí)現(xiàn)，因此升級(jí)到最新版本的WSH是最好的選擇。最新版WSH在安全性上又有了新的改進(jìn)。

3.8提高防馬意識(shí)

用戶對(duì)于來(lái)歷不明的鏈接不要輕易點(diǎn)擊，對(duì)于來(lái)歷不明的程序不要輕易安裝運(yùn)行，對(duì)于來(lái)歷不明的多媒體文件也不要輕易下載打開(kāi)。經(jīng)常持有對(duì)來(lái)歷不明的文件的警惕性是非常必要的，可以避免很多有害代碼的侵入。網(wǎng)頁(yè)木馬的發(fā)展趨勢(shì)

? 網(wǎng)頁(yè)木馬的利用向“大眾化”發(fā)展

網(wǎng)頁(yè)木馬的利用,近年來(lái)有著從“專(zhuān)業(yè)化”向“大眾化”的發(fā)展趨勢(shì):早期,攻擊頁(yè)面的編寫(xiě)及網(wǎng)頁(yè)掛馬需要具備一定攻防技術(shù)基礎(chǔ)的黑客才能完成;而現(xiàn)在,普通網(wǎng)民也可以隨意構(gòu)建并發(fā)布網(wǎng)頁(yè)木馬.這種變化趨勢(shì)在于兩方面原因:一是大量的網(wǎng)頁(yè)木馬自動(dòng)構(gòu)建工具的存在,如在著名黑客會(huì)議Black Hat 和DEF CON 上發(fā)布的drivesploit等,普通網(wǎng)民僅簡(jiǎn)單操作這些工具便可定制出針對(duì)特定漏洞的網(wǎng)頁(yè)木馬.另一方面,普通網(wǎng)民不需要掌握任何復(fù)雜的網(wǎng)頁(yè)掛馬手段,僅僅通過(guò)社交網(wǎng)站就可以大范圍地推送惡意鏈接;加之Twitter、新浪微博等會(huì)對(duì)用戶上傳的URL 做短鏈接處理,這種惡意鏈接有很強(qiáng)的隱蔽性.隨著網(wǎng)頁(yè)木馬的利用向“大眾化”的發(fā)展,網(wǎng)頁(yè)木馬在互聯(lián)網(wǎng)上的分布更加廣泛.一個(gè)可能的研究方向是根據(jù)網(wǎng)頁(yè)木馬自動(dòng)生成工具的指紋特征進(jìn)行網(wǎng)頁(yè)木馬檢測(cè)與防范.? 攻擊向量載體向PDF,Flash 文檔格式擴(kuò)展

網(wǎng)頁(yè)木馬以 HTML 頁(yè)面作為攻擊向量載體,在瀏覽器加載、渲染HTML 頁(yè)面時(shí),利用瀏覽器及其插件的漏洞實(shí)現(xiàn)惡意程序的下載、執(zhí)行.近年來(lái),攻擊者開(kāi)始在PDF 和Flash 等文檔中嵌入惡意腳本,利用PDF,Flash 閱讀器的漏洞來(lái)下載、執(zhí)行惡意程序.攻擊向量的載體已經(jīng)從HTML 頁(yè)面擴(kuò)展到PDF,Flash 等文檔.通過(guò)PDF 文檔進(jìn)行客戶端攻擊,呈一種上升趨勢(shì)[60].以PDF,Flash 為攻擊向量載體進(jìn)行的客戶端攻擊已經(jīng)開(kāi)始得到學(xué)術(shù)界的關(guān)注.雖然PDF 和Flash 在文檔格式上與HTML 頁(yè)面有所區(qū)別,但攻擊手段本質(zhì)上都是在文檔中嵌入惡意腳本等攻擊向量,利用瀏覽器/閱讀器中的漏洞實(shí)現(xiàn)惡意程序的自動(dòng)下載和執(zhí)行.對(duì)于該類(lèi)攻擊的防御,可以借鑒網(wǎng)頁(yè)木馬防御中的一些思路,如Tzermias 等人借鑒PhoneyC 的思路檢測(cè)惡意PDF 文檔。

? 目標(biāo)攻擊平臺(tái)向手機(jī)平臺(tái)擴(kuò)展

近年來(lái),智能手機(jī)的市場(chǎng)份額在逐步擴(kuò)大,技術(shù)也在不斷發(fā)展.智能手機(jī)瀏覽環(huán)境的逐步發(fā)展給用戶帶來(lái)了越來(lái)越好的使用體驗(yàn),但同時(shí)也將攻擊者的攻擊目標(biāo)吸引到了手機(jī)平臺(tái).據(jù)統(tǒng)計(jì),iPhone,Android 等主流手機(jī)平臺(tái)均存在大量的安全漏洞,而瀏覽環(huán)境的安全漏洞又占據(jù)了其中的大部分.2007 年iPhone 首次發(fā)布后不久,便被攻擊者通過(guò)Safari 瀏覽器上的漏洞攻破,而在2010 年3 月Pwn2Own 全球攻擊者大賽上,兩名歐洲黑客僅用20s的時(shí)間便通過(guò)Safari 瀏覽器成功攻破iPhone.只要用戶用智能手機(jī)中特定版本的瀏覽器訪問(wèn)攻擊者精心構(gòu)造的頁(yè)面,就可能觸發(fā)惡意代碼在智能手機(jī)平臺(tái)上自動(dòng)執(zhí)行.目前,針對(duì)手機(jī)平臺(tái)的網(wǎng)頁(yè)木馬雖然沒(méi)有大規(guī)模爆發(fā),但由于手機(jī)平臺(tái)瀏覽環(huán)境中存在大量漏洞,針對(duì)手機(jī)平臺(tái)的網(wǎng)頁(yè)木馬仍然是一種潛在的安全威脅,值得研究人員關(guān)注.5 總結(jié)

網(wǎng)頁(yè)木馬作為惡意程序傳播的一種重要方式,能夠在客戶端訪問(wèn)頁(yè)面的過(guò)程中高效、隱蔽地將惡意程序植入客戶端,基于Web 的被動(dòng)式攻擊模式使網(wǎng)頁(yè)木馬能十分隱蔽并有效地感染大量客戶端,通過(guò)內(nèi)嵌鏈接構(gòu)成的樹(shù)狀多頁(yè)面結(jié)構(gòu)以及靈活多變的隱蔽手段,使網(wǎng)頁(yè)木馬在結(jié)構(gòu)和組成等方面與一些傳統(tǒng)的惡意代碼形態(tài)有所區(qū)別.安全研究人員基于對(duì)網(wǎng)頁(yè)木馬機(jī)理、特點(diǎn)等的把握,在掛馬檢測(cè)、特征分析、防范等方面提出了應(yīng)對(duì)方法.圍繞網(wǎng)頁(yè)木馬的攻防博弈仍在繼續(xù),網(wǎng)頁(yè)木馬在載體和攻擊平臺(tái)上的擴(kuò)展也給研究人員帶來(lái)了新的挑戰(zhàn)與機(jī)遇.對(duì)于安全研究人員來(lái)說(shuō),與網(wǎng)頁(yè)木馬的對(duì)抗是一項(xiàng)任重而道遠(yuǎn)的工作.參考文獻(xiàn)

[1] 張慧琳,諸葛建偉,宋程昱,鄒維.基于網(wǎng)頁(yè)動(dòng)態(tài)視圖的網(wǎng)頁(yè)木馬檢測(cè)方法.清華大學(xué)學(xué)報(bào)(自然科學(xué)版),2009,49(S2):2126?2132.[2] 張慧琳,鄒維,韓心慧.網(wǎng)頁(yè)木馬機(jī)理與防御技術(shù).軟件學(xué)報(bào),2013,24(4):843?858.http://

第二篇：web總結(jié)之網(wǎng)頁(yè)基礎(chǔ)

1.簡(jiǎn)單的網(wǎng)頁(yè)

夏天很熱！

第三篇：新形勢(shì)下的安全挑戰(zhàn)web安全與網(wǎng)頁(yè)掛馬

新形勢(shì)下的安全挑戰(zhàn): Web安全與網(wǎng)頁(yè)掛馬

Web安全系列（1）

隨著信息化建設(shè)的不斷深入，Web技術(shù)的日益成熟，Web應(yīng)用平臺(tái)已經(jīng)在電子政務(wù)、電子商務(wù)等領(lǐng)域得到廣泛的應(yīng)用，以協(xié)同工作環(huán)境、社會(huì)性網(wǎng)絡(luò)服務(wù)以及托管應(yīng)用程序?yàn)榇淼腤eb技術(shù)，將在很大程度上改變?nèi)藗儨贤ń涣鞯姆绞胶凸ぷ鞣绞?。但這些新的技術(shù)在給商業(yè)活動(dòng)的發(fā)展帶來(lái)便利的同時(shí)，也帶來(lái)了前所未有的巨大安全風(fēng)險(xiǎn)。

過(guò)去，網(wǎng)站的內(nèi)容大多是靜態(tài)的。網(wǎng)站管理員對(duì)合法網(wǎng)站上的內(nèi)容進(jìn)行管理，能夠分辨出“可信”站點(diǎn)和“不可信”站點(diǎn)。但如今，Web 內(nèi)容逐漸趨于動(dòng)態(tài)化，最終用戶持續(xù)不斷的更新現(xiàn)有內(nèi)容、共享應(yīng)用程序，并通過(guò)多種渠道進(jìn)行即時(shí)通訊。即使采用最佳的策略制定方法，某些不良內(nèi)容或惡意軟件也會(huì)隨時(shí)彈出（甚至在可信站點(diǎn)也是如此），使公司的重要信息和網(wǎng)絡(luò)暴露于極為危險(xiǎn)的環(huán)境之下。

根據(jù) Gartner 的調(diào)查，信息安全攻擊有 75% 都是發(fā)生在 Web 應(yīng)用層而非網(wǎng)絡(luò)層面上。同時(shí)，數(shù)據(jù)也顯示，2/3的Web站點(diǎn)都相當(dāng)脆弱，易受攻擊?？梢哉f(shuō)，絕大多數(shù)企業(yè)將大量的投資花費(fèi)在網(wǎng)絡(luò)和服務(wù)器的安全上，沒(méi)有從真正意義上保證 Web 業(yè)務(wù)本身的安全，才給了黑客可乘之機(jī)。根據(jù)世界知名的Web安全研究組織OWASP提供的報(bào)告，目前對(duì)Web業(yè)務(wù)系統(tǒng)威脅最嚴(yán)重的兩種攻擊方式是注入漏洞和跨站腳本漏洞。

注入漏洞攻擊。特別是SQL注入漏洞，主要是利用目標(biāo)網(wǎng)站程序未對(duì)用戶輸入的字符進(jìn)行特殊字符過(guò)濾或合法性校驗(yàn)，可直接執(zhí)行數(shù)據(jù)庫(kù)語(yǔ)句，導(dǎo)致網(wǎng)站存在安全風(fēng)險(xiǎn)通過(guò)驗(yàn)證用戶輸入使用的是消極或積極的安全策略，有效檢測(cè)并攔截注入攻擊。

跨站腳本漏洞攻擊，是指目標(biāo)網(wǎng)站對(duì)用戶提交的變量代碼未進(jìn)行有效的過(guò)濾或轉(zhuǎn)換，允許攻擊者插入惡意Web代碼（通常是一些經(jīng)過(guò)構(gòu)造的javascript語(yǔ)句），劫持用戶會(huì)話、篡改網(wǎng)頁(yè)信息甚至引入蠕蟲(chóng)病毒等通過(guò)驗(yàn)證用戶輸入使用的是消極或積極的安全策略，有效檢測(cè)并攔截跨站點(diǎn)腳本(XSS)攻擊。

從以往發(fā)生的安全事件來(lái)看，Web攻擊可導(dǎo)致的后果極為嚴(yán)重，通過(guò)上述手段將一個(gè)合法正常網(wǎng)站攻陷，利用獲取到的相應(yīng)權(quán)限在網(wǎng)頁(yè)中嵌入惡意代碼，將惡意程序下載到存在客戶端漏洞的主機(jī)上，從而實(shí)現(xiàn)攻擊目的。如：盜取各類(lèi)用戶賬號(hào)，如機(jī)器登錄賬號(hào)、用戶網(wǎng)銀賬號(hào)、各類(lèi)管理員賬號(hào)。控制企業(yè)數(shù)據(jù)，包括讀取、篡改、添加、刪除企業(yè)敏感數(shù)據(jù)的能力。盜竊企業(yè)重要的具有商業(yè)價(jià)值的資料。非法轉(zhuǎn)賬。網(wǎng)站掛馬?？刂剖芎φ邫C(jī)器向其他網(wǎng)站發(fā)起攻擊??

鑒于上述對(duì)Web常見(jiàn)攻擊的分析，對(duì)Web及客戶端的保護(hù)已經(jīng)刻不容緩。聯(lián)想網(wǎng)御的安全專(zhuān)家給出幾點(diǎn)建議：

首先，解決Web服務(wù)器端安全問(wèn)題。具體的解決辦法可采取源代碼審計(jì)與部署入侵防護(hù)系統(tǒng)相結(jié)合的方式，源代碼審計(jì)是經(jīng)過(guò)專(zhuān)業(yè)安全人員，對(duì)Web應(yīng)用程序源代碼進(jìn)行安全性檢查，對(duì)程序的輸入輸出函數(shù)進(jìn)行安全測(cè)試，最大程度保障Web程序的自身代碼安全；并通過(guò)部署入侵防護(hù)系統(tǒng)，針對(duì)跨站腳本、SQL注入、cookies注入、參數(shù)篡改等Web攻擊方式進(jìn)行主動(dòng)防護(hù)。

其次，解決Web瀏覽客戶端安全。主要是防范遠(yuǎn)程惡意代碼執(zhí)行漏洞，其原理是通過(guò)構(gòu)造精心設(shè)計(jì)的格式錯(cuò)誤數(shù)據(jù)，由攻擊者觸發(fā)系統(tǒng)漏洞，并在客戶端軟件中更改代碼執(zhí)行路徑，來(lái)執(zhí)行由攻擊者隨格式錯(cuò)誤數(shù)據(jù)附帶惡意代碼或程序的利用過(guò)程。如果客戶端瀏覽器中存在未修補(bǔ)的惡意代碼執(zhí)行漏洞或0day漏洞，當(dāng)訪問(wèn)受惡意代碼感染的站點(diǎn)時(shí)，該站點(diǎn)會(huì)自動(dòng)在登錄用戶的瀏覽器中運(yùn)行攻擊者的惡意代碼，并利用Web瀏覽器漏洞安裝惡意病毒、木馬程序，如密碼竊取惡意軟件等。這些惡意行為是利用了瀏覽器本身的系統(tǒng)后臺(tái)漏洞執(zhí)行，所有這一切根本無(wú)需任何用戶交互操作。所以應(yīng)盡量使用已采用常規(guī)堆棧保護(hù)措施版本的Web瀏覽器，來(lái)防止基于堆棧和基于堆的緩沖區(qū)溢出攻擊。目前最新版本的Microsoft IE瀏覽器已經(jīng)提供基于數(shù)據(jù)執(zhí)行保護(hù)（DEP）或不執(zhí)行（NX）的內(nèi)存保護(hù)措施，Internet Explorer 8平臺(tái)在Internet控制面板選項(xiàng)開(kāi)啟“啟用內(nèi)存保護(hù)幫助減少聯(lián)機(jī)攻擊”的選項(xiàng)就可以有效防止遠(yuǎn)程代碼攻擊；另外建議部署統(tǒng)一的內(nèi)網(wǎng)管理系統(tǒng)，統(tǒng)一對(duì)關(guān)鍵應(yīng)用程序和系統(tǒng)補(bǔ)丁進(jìn)行時(shí)時(shí)監(jiān)控和統(tǒng)一升級(jí)，保證客戶端和內(nèi)網(wǎng)安全。

再次，是解決對(duì)木馬、病毒的防治。建議安裝終端防病毒、防火墻軟件并保持時(shí)時(shí)更新，開(kāi)啟入侵防護(hù)系統(tǒng)病毒木馬防護(hù)策略，建立統(tǒng)一病毒防護(hù)體系，如在網(wǎng)絡(luò)邊界部署網(wǎng)絡(luò)防毒墻，對(duì)關(guān)鍵服務(wù)器和客戶端進(jìn)行重點(diǎn)防護(hù)，并對(duì)其網(wǎng)絡(luò)連接進(jìn)行入侵檢測(cè)監(jiān)控，保證安全風(fēng)險(xiǎn)在一個(gè)可控的范圍內(nèi)。

聯(lián)想網(wǎng)御針對(duì)當(dāng)前Web安全形勢(shì)，提出了一系列的安全解決方案。從多角度角度、全方位的安全評(píng)估和現(xiàn)狀分析，了解系統(tǒng)面臨的風(fēng)險(xiǎn)狀況，通過(guò)安全評(píng)估、安全修復(fù)和部署相應(yīng)產(chǎn)品相結(jié)合的方式，構(gòu)建了最大程度保護(hù)Web系統(tǒng)應(yīng)用安全的保障體系。毋庸置疑的是，信息安全是一個(gè)循序漸進(jìn)的防御過(guò)程，需要的是全面而完善的體系建設(shè)。

第四篇：2009-2010-1網(wǎng)頁(yè)與Web程序設(shè)計(jì)實(shí)驗(yàn)報(bào)告

武漢大學(xué)計(jì)算中心2007年5月

《網(wǎng)頁(yè)與Web程序設(shè)計(jì)》實(shí)驗(yàn)報(bào)告

年級(jí)：2008級(jí)（必修）

學(xué)號(hào)：20080307703117姓名：郝嫚專(zhuān)業(yè)：金融管理與實(shí)務(wù)3班

一、實(shí)驗(yàn)題目

分析或參考給定的“網(wǎng)站設(shè)計(jì)實(shí)例”，設(shè)計(jì)一個(gè)自選題材的網(wǎng)站。

說(shuō)明：

1．自行設(shè)計(jì)的網(wǎng)站可以只包含靜態(tài)網(wǎng)頁(yè)（.htm），也可以包含動(dòng)態(tài)網(wǎng)頁(yè)(.asp)。

2．站點(diǎn)至少要有三層結(jié)構(gòu)，頁(yè)面數(shù)5頁(yè)左右；網(wǎng)頁(yè)要有落款、版權(quán)說(shuō)明。網(wǎng)站大小不要超過(guò)10MB。

3．在網(wǎng)站制作過(guò)程中或完成后，填寫(xiě)下面“

五、實(shí)驗(yàn)步驟”里的省略號(hào)部分。

二、實(shí)驗(yàn)?zāi)康暮鸵?/p>

通過(guò)以前各章的學(xué)習(xí)和實(shí)驗(yàn)，同學(xué)們已經(jīng)了解和初步掌握一系列的網(wǎng)頁(yè)與Web程序設(shè)計(jì)技術(shù)。本實(shí)驗(yàn)?zāi)苁勾蠹覍?duì)網(wǎng)站設(shè)計(jì)的全過(guò)程，有一個(gè)更加完整的概念，熟練掌握網(wǎng)站設(shè)計(jì)工具“網(wǎng)頁(yè)設(shè)計(jì)三劍客”。具體要求如下：

1．自選題材，主題內(nèi)容要合法、健康、實(shí)用。網(wǎng)站主題突出、內(nèi)容豐富。

2．自己動(dòng)手獨(dú)立完成網(wǎng)站設(shè)計(jì)。可以借鑒和模仿某個(gè)網(wǎng)站進(jìn)行設(shè)計(jì)與制作，但不可以從網(wǎng)上下載網(wǎng)頁(yè)直接上交。

3．站點(diǎn)應(yīng)當(dāng)設(shè)計(jì)合理，結(jié)構(gòu)分明，管理有序，無(wú)多余文件和文件夾，大小合適。文件和文件夾存放位置要正確，首頁(yè)文件名應(yīng)該使用index.htm、index.asp、default.htm或default.asp。其他文件或文件名命名也要規(guī)范，不宜使用漢字或帶有空格的名稱。

4．網(wǎng)站風(fēng)格統(tǒng)一，設(shè)計(jì)適合于主題的LOGO（徽標(biāo)），或者標(biāo)題圖片及動(dòng)畫(huà)。各頁(yè)面設(shè)計(jì)合理、美觀，有創(chuàng)意。不要太花哨或太孩子氣，不要只是各種元素的隨意拼湊。圖片和動(dòng)畫(huà)選用要適合主題，不要在網(wǎng)頁(yè)中插入不相干的圖片，圖片保存格式和圖片大小要合適。要適用于各種顯示器的分辨率，不要太寬，否則在顯示器分辨率較小時(shí)會(huì)出現(xiàn)水平滾動(dòng)條。

5．各個(gè)頁(yè)面之間的鏈接要合理有效，路徑要正確（使用相對(duì)路徑）。要合理使用css樣式，不要在各個(gè)頁(yè)面中重復(fù)定義相同的css樣式；應(yīng)該將css樣式存放到css文件中，然后附加即鏈接到各頁(yè)中。代碼結(jié)構(gòu)清晰，無(wú)垃圾代碼。

三、實(shí)驗(yàn)方法

網(wǎng)站設(shè)計(jì)的一般過(guò)程或方法如下：

1．確定主題和收集資料

自行選定所要設(shè)計(jì)的網(wǎng)站主題和欄目，收集有關(guān)圖文、數(shù)據(jù)等資料，經(jīng)過(guò)分析，初步確定網(wǎng)站的基本功能、結(jié)構(gòu)或三級(jí)目錄。

2．規(guī)劃網(wǎng)站和新建站點(diǎn)

在需求分析的基礎(chǔ)上，畫(huà)出網(wǎng)站的樹(shù)型目錄結(jié)構(gòu)圖，從網(wǎng)站根文件夾，子文件夾到文件名。首頁(yè)文件名如index.htm，應(yīng)該放在網(wǎng)站根文件夾里。根據(jù)Windows的“管理工具”中是否已安裝IIS，用Dreamweaver 8，在C:Inetpubwwroot或者D:里，新建站點(diǎn)，即根文件夾，子文件夾或文件名。隨時(shí)在U盤(pán)上做好備份。

3．制作素材和單個(gè)網(wǎng)頁(yè)

用“網(wǎng)頁(yè)設(shè)計(jì)三劍客”自行制作或者收集網(wǎng)站要使用的小圖片、動(dòng)畫(huà)、音頻或視頻，制作單個(gè)網(wǎng)頁(yè)文件及其鏈接，以及按需要建立數(shù)據(jù)庫(kù)。按照規(guī)劃，一一放在網(wǎng)站的相應(yīng)子文件夾里。

4．制作首頁(yè)和建立鏈接

制作首頁(yè)，并且建立與下一級(jí)網(wǎng)頁(yè)的鏈接（若受網(wǎng)站大小限制且超過(guò)5頁(yè)，則可建立必要的空連接）。

5．調(diào)試運(yùn)行

可以邊設(shè)計(jì)邊調(diào)試，也可以邊調(diào)試邊修改前面的設(shè)計(jì)。然后，正式運(yùn)行和提交網(wǎng)站。

四、實(shí)驗(yàn)環(huán)境

微機(jī) + Windows操作系統(tǒng)(含IIS)+ Fireworks 8 + Flash 8 + Dreamweaver 8 + Access。

五、實(shí)驗(yàn)步驟

請(qǐng)?zhí)顚?xiě)網(wǎng)站分析與設(shè)計(jì)的實(shí)驗(yàn)步驟。

（一）分析給定的“網(wǎng)站設(shè)計(jì)實(shí)例”

1．該網(wǎng)站的樹(shù)型目錄或站點(diǎn)結(jié)構(gòu)圖（如圖1）：

……

圖1 實(shí)例網(wǎng)站的樹(shù)型目錄或站點(diǎn)結(jié)構(gòu)

2．在該網(wǎng)站首頁(yè)上“插入”大標(biāo)題圖片和動(dòng)畫(huà)文件的操作步驟：

……

3．在該網(wǎng)站設(shè)計(jì)中，運(yùn)用了哪些樣式設(shè)計(jì)技術(shù)如CSS等？舉例說(shuō)明：

……

4．在該網(wǎng)站設(shè)計(jì)中，下一級(jí)網(wǎng)頁(yè)顯示的目標(biāo)（位置）一般設(shè)置為：……；數(shù)據(jù)庫(kù)（.mdb）文件為：……。

5．在該網(wǎng)站設(shè)計(jì)中，較好地運(yùn)用了如下網(wǎng)頁(yè)與Web程序設(shè)計(jì)技術(shù)：

……

（二）設(shè)計(jì)自選題材網(wǎng)站的具體步驟

1．確定主題和收集資料

本網(wǎng)站的主題：我的美麗家鄉(xiāng)——廣水

? 欄目或三級(jí)目錄：首頁(yè)，魅力廣水，廣水高中，廣水風(fēng)光，今日廣水和廣水人

家。

2．規(guī)劃網(wǎng)站和新建站點(diǎn)

網(wǎng)站的樹(shù)型目錄或站點(diǎn)結(jié)構(gòu)圖如圖2：

? 首頁(yè)

?

?

?

? 魅力廣水 廣水風(fēng)光 廣水高中 今日廣水和廣水人家

創(chuàng)建本地站點(diǎn)：

·啟動(dòng)Dreamweaver 8，選擇“站點(diǎn)”菜單中的“管理站點(diǎn)”命令，打開(kāi)“管理站點(diǎn)”對(duì)話框。

選擇“新建”按鈕，然后選擇“站點(diǎn)”命令，打開(kāi)“站點(diǎn)定義”對(duì)話框，將站點(diǎn)名稱設(shè)為“Mysite”，單擊下一步。

·根據(jù)提示填完有關(guān)步驟，最后單擊“完成”按鈕。

·單擊“管理站點(diǎn)”對(duì)話框中的“完成”按鈕，在打開(kāi)“文件”面板上顯示本地站點(diǎn)的目錄結(jié)構(gòu)。

·在站點(diǎn)根文件夾上單擊右鍵，從彈出的快捷菜單中選擇“新建文件夾”命令，將新建文件夾名稱設(shè)置為“image”。

·采用同樣的方法再建一個(gè)“vidao”文件夾。

3．制作素材和單個(gè)網(wǎng)頁(yè)（舉例說(shuō)明典型的操作步驟）

（1）素材制作

1.圖片：在網(wǎng)上收集一些網(wǎng)頁(yè)背景圖片，與主題有關(guān)的一些圖片；將一些不是很合心意的圖片在“fireworks”中進(jìn)行修改，制作。

2.flash動(dòng)畫(huà)：在有關(guān)網(wǎng)頁(yè)制作的網(wǎng)站中下載了一些有關(guān)的flash動(dòng)畫(huà)。由于網(wǎng)頁(yè)設(shè)計(jì)容量的限制此處沒(méi)有插入動(dòng)畫(huà)，實(shí)際步驟已知。

3.下載歌曲輕音樂(lè)紅河谷作為其中風(fēng)景網(wǎng)頁(yè)的背景音樂(lè)。

4.下載有關(guān)的資料，圖片??

…

（2）網(wǎng)頁(yè)制作

以魅力廣水為例

打開(kāi)Fireworks 8，在Fireworks 8中制做好背景圖片并保存為JPG格式，關(guān)閉Fireworks 8。

打開(kāi)Dreamweaver 8，單擊“插入”—“圖片”命令，選擇此圖片插入

（3）建立數(shù)據(jù)庫(kù)

4．制作首頁(yè)和建立鏈接（舉例說(shuō)明典型的操作步驟）

制作首頁(yè)：

……1）新建頁(yè)面，選擇菜單命令“修改”—“頁(yè)面屬性”，在彈出的對(duì)話框中將網(wǎng)頁(yè)的標(biāo)題設(shè)置為“魅力廣水”……

2)如果沒(méi)有顯示標(biāo)尺，則選擇菜單命令“查看”/“標(biāo)尺”/“顯示”，顯示標(biāo)尺。

3）選擇菜單命令“查看”/“網(wǎng)格”/“顯示網(wǎng)格”來(lái)顯示網(wǎng)格，以便于

定位。

4）在插入工具欄中選擇“布局”子工具欄，單擊布局按鈕，此時(shí)會(huì)打開(kāi)

一個(gè)“從布局模式開(kāi)始”，單擊“確定”按鈕進(jìn)入布局模式。

5）單擊“布局”插入工具欄上的“布局表格”按鈕，然后將光標(biāo)放在要繪制表格的區(qū)域，按住鼠標(biāo)左鍵繪制一個(gè)布局表格。

6）在“布局”插入工具欄上的“布局表格”按鈕，然后移動(dòng)光標(biāo)到第一

行網(wǎng)格的位置，繪制一個(gè)頂部單元格并選中該單元格，在打開(kāi)的“屬性”面板中設(shè)置“背景顏色”為白色，并以此方法繪制剩余的單元格。

7）選擇“插入”/“圖像”命令，插入圖片，調(diào)整圖片大小使得圖片大

小恰好充滿單元格。

8）在左側(cè)單元格內(nèi)輸入文字，然后加上項(xiàng)目符號(hào)，并插入圖片，然后

在屬性面板中設(shè)置字體為黑體，背景設(shè)為綠色。

9)選定整個(gè)布局表格，將布局表格背景設(shè)為黑色。完成首頁(yè)制作。

建立連接:

? 將所有的網(wǎng)頁(yè)都做完了之后再建立鏈接。（下面以“魅力廣水”為例）①選中“魅力廣水”圖片，打開(kāi)“屬性”面板，選擇“鏈接”文本框右邊的文件夾，選擇文件夾中的“主頁(yè)”網(wǎng)頁(yè)，單擊“確定”。

②在“目標(biāo)”的下拉框中選擇“鳴人的身世”

5．調(diào)試運(yùn)行

調(diào)試和運(yùn)行情況：

在運(yùn)行的過(guò)程中，有某些圖片，音樂(lè)無(wú)法正常顯示和播放，有些是因?yàn)殡娔X的原因，而有些則是因?yàn)椴僮鬟^(guò)程中出現(xiàn)的問(wèn)題，經(jīng)過(guò)不斷修正，網(wǎng)頁(yè)運(yùn)行正常。

……

第五篇：通信網(wǎng)防御雷電安全保護(hù)檢測(cè)管理辦法

通信網(wǎng)防御雷電安全保護(hù)檢測(cè)管理辦法

各省、自治區(qū)、直轄市通信管理局，中國(guó)電信集團(tuán)公司、中國(guó)網(wǎng)絡(luò)通信集團(tuán)公司、中國(guó)移動(dòng)通信集團(tuán)公司、中國(guó)聯(lián)合通信有限公司、中國(guó)鐵通集團(tuán)有限公司、中國(guó)衛(wèi)星通信集團(tuán)公司，各相關(guān)單位：

為了保證通信網(wǎng)路安全可靠地運(yùn)行，根據(jù)《中華人民共和國(guó)安全生產(chǎn)法》、《中華人民共和國(guó)電信條例》，我部組織制定了《通信網(wǎng)防御雷電安全保護(hù)檢測(cè)管理辦法》，現(xiàn)予發(fā)布，2005年1月1日起實(shí)施，請(qǐng)認(rèn)真貫徹執(zhí)行。

附件：通信網(wǎng)防御雷電安全保護(hù)檢測(cè)管理辦法

中華人民共和國(guó)信息產(chǎn)業(yè)部

二○○四年十二月一日

通信網(wǎng)防御雷電安全保護(hù)檢測(cè)管理辦法

第一章 總 則

第一條

為保障通信網(wǎng)路安全可靠地運(yùn)行，防止雷害事故造成人員傷亡和機(jī)房火災(zāi)，建立健全防雷減災(zāi)管理制度，根據(jù)《中華人民共和國(guó)安全生產(chǎn)法》、《中華人民共和國(guó)電信條例》有關(guān)規(guī)定，制定本辦法。

第二條 電信運(yùn)營(yíng)商、通信設(shè)備集成商和從事通信防雷產(chǎn)品的生產(chǎn)制造商和經(jīng)銷(xiāo)商應(yīng)當(dāng)遵守本辦法。

第三條 本辦法適用于我國(guó)公用電信網(wǎng)的通信大樓、交換、接入網(wǎng)、傳輸、無(wú)線通信基站、IP網(wǎng)站、局域網(wǎng)、微波站、衛(wèi)星地面站等通信局（站）的防雷電安全保護(hù)的管理。

第四條

通信網(wǎng)上的通信局站、機(jī)房必須按規(guī)定安裝防雷電安全保護(hù)系統(tǒng)。防雷設(shè)計(jì)和施工應(yīng)符合信息產(chǎn)業(yè)部相關(guān)標(biāo)準(zhǔn)規(guī)范的規(guī)定。通信網(wǎng)上安裝的防雷系統(tǒng)經(jīng)驗(yàn)收合格后可并網(wǎng)使用。第五條 在通信網(wǎng)上使用的防雷產(chǎn)品必須按國(guó)家和行業(yè)標(biāo)準(zhǔn)進(jìn)行檢驗(yàn)，檢驗(yàn)合格的產(chǎn)品允許進(jìn)網(wǎng)使用。電信運(yùn)營(yíng)商、通信設(shè)備集成商、設(shè)計(jì)施工部門(mén)應(yīng)選用檢驗(yàn)合格的防雷產(chǎn)品。

第六條 為保障通信網(wǎng)防雷性能的安全可靠，信息產(chǎn)業(yè)部對(duì)通信網(wǎng)上使用的防雷產(chǎn)品和防雷系統(tǒng)實(shí)行定期檢測(cè)制度；進(jìn)一步完善通信網(wǎng)上雷電災(zāi)害調(diào)查制度。

第二章 組織管理

第七條

電信運(yùn)營(yíng)商應(yīng)遵照本辦法，建立完善的雷電防御管理制度，各級(jí)電信運(yùn)營(yíng)商的主要領(lǐng)導(dǎo)對(duì)防雷安全負(fù)責(zé)。各級(jí)電信運(yùn)營(yíng)商應(yīng)配合信息產(chǎn)業(yè)部和各地通信管理局組織的電信網(wǎng)防雷減災(zāi)調(diào)查。

第八條

各地通信管理局負(fù)有監(jiān)管本地區(qū)通信網(wǎng)路防雷減災(zāi)和安全生產(chǎn)的職責(zé)。負(fù)責(zé)組織對(duì)電信網(wǎng)上使用的防雷系統(tǒng)和防雷產(chǎn)品定期進(jìn)行抽樣檢測(cè)和雷害調(diào)查，并將結(jié)果上報(bào)信息產(chǎn)業(yè)部。

第九條 從事防雷產(chǎn)品和通信網(wǎng)上防雷系統(tǒng)檢測(cè)的機(jī)構(gòu)必須是國(guó)家認(rèn)可的第三方檢測(cè)機(jī)構(gòu)。通過(guò)國(guó)家認(rèn)監(jiān)委和信息產(chǎn)業(yè)部組織的計(jì)量認(rèn)證和審查認(rèn)可。

第十條

信息產(chǎn)業(yè)部通信產(chǎn)品防雷性能品質(zhì)監(jiān)督檢驗(yàn)中心作為通信防雷技術(shù)支持單位配合信息產(chǎn)業(yè)部做好防雷產(chǎn)品標(biāo)準(zhǔn)符合性審查，配合各通信管理局做好雷電災(zāi)害的調(diào)查和通信網(wǎng)上防雷產(chǎn)品的抽查管理。

第十一條 信息產(chǎn)業(yè)部負(fù)責(zé)組織管理和指導(dǎo)全國(guó)通信行業(yè)防雷減災(zāi)工作。對(duì)通過(guò)檢測(cè)的通信防雷產(chǎn)品定期在網(wǎng)上公布。并組織對(duì)雷電災(zāi)害的調(diào)查和處理。

第三章 通信防雷產(chǎn)品的要求

第十二條 建筑物直擊雷防護(hù)的產(chǎn)品應(yīng)符合國(guó)家標(biāo)準(zhǔn)GB50057-2000《建筑物防雷設(shè)計(jì)規(guī)范》。

第十三條 通信網(wǎng)上所使用的各類(lèi)防雷保護(hù)產(chǎn)品應(yīng)符合YD/T5098—2001《通信局（站）雷電過(guò)電壓保護(hù)工程設(shè)計(jì)規(guī)范》中對(duì)產(chǎn)品的技術(shù)要求。

第十四條 電源用各類(lèi)雷電過(guò)電壓保護(hù)產(chǎn)品應(yīng)符合YD/T1235.1－2002《通信局（站）低壓配點(diǎn)電系統(tǒng)電涌保護(hù)器的技術(shù)要求》規(guī)定。

第十五條 電源用各類(lèi)雷電過(guò)電壓保護(hù)產(chǎn)品應(yīng)通過(guò)YD/T1235.2－2002《通信局（站）低壓配點(diǎn)電系統(tǒng)電涌保護(hù)器的測(cè)試方法》的測(cè)試。

第十六條 通信局（站）選用的防雷產(chǎn)品應(yīng)通過(guò)信息產(chǎn)業(yè)部審查認(rèn)可的檢測(cè)機(jī)構(gòu)檢測(cè)合格并在網(wǎng)上公布。

第十七條 通信防雷產(chǎn)品的生產(chǎn)制造商、經(jīng)銷(xiāo)商應(yīng)保證通過(guò)檢測(cè)產(chǎn)品的一致性和可靠性。

第四章 日常維護(hù)管理

第十八條 各級(jí)電信運(yùn)營(yíng)商在新建、擴(kuò)建、改建的通信局（站）的防雷工程驗(yàn)收過(guò)程中應(yīng)當(dāng)嚴(yán)格把關(guān)，經(jīng)驗(yàn)收合格后，防雷裝置才能投入使用。

第十九條

各級(jí)電信運(yùn)營(yíng)商應(yīng)建立防雷管理檢查制度，對(duì)雷電災(zāi)害造成的事故要做好專(zhuān)門(mén)調(diào)查、統(tǒng)計(jì)、分析及鑒定工作，要有明確的記錄(包括損壞通信設(shè)備清單、雷害事故分析、處理報(bào)告等)。對(duì)雷災(zāi)事故要逐級(jí)上報(bào)，不得瞞報(bào)謊報(bào)。

第二十條 遭受雷擊事故或火災(zāi)的通信局（站），可委托信息產(chǎn)業(yè)部通信產(chǎn)品防雷性能品質(zhì)監(jiān)督檢驗(yàn)中心對(duì)雷擊事故做技術(shù)認(rèn)定工作。

第二十一條 重大雷擊事故，由信息產(chǎn)業(yè)部組織相關(guān)單位做好分析和調(diào)查工作。

第二十二條

維護(hù)人員應(yīng)在每年雷雨季節(jié)之前對(duì)通信局（站）建筑物、構(gòu)筑物、接地系統(tǒng)的接地電阻和其它設(shè)施安裝的防雷裝置進(jìn)行一次全面檢查，發(fā)現(xiàn)異常變化要立即查明原因，并及時(shí)采取措施。同時(shí)建立專(zhuān)門(mén)的防雷接地檔案，保存建筑物防雷、接地線、接地網(wǎng)、接地電阻及防雷產(chǎn)品安裝的原始記錄及日常防雷檢查記錄。

第二十三條 通信局（站）內(nèi)的電源用保護(hù)器的通流容量、安裝位置、接地線徑、接地線長(zhǎng)短應(yīng)符合標(biāo)準(zhǔn)要求，其SPD的保護(hù)模式應(yīng)符合其供電方式。

第二十四條 電源用第一級(jí)SPD在每年雷雨季節(jié)前，應(yīng)檢測(cè)其各類(lèi)性能和顯示是否正常，開(kāi)關(guān)電源內(nèi)的模塊應(yīng)每年用混合波雷電電涌測(cè)試儀檢測(cè)其性能，檢查其老化程度。信號(hào)、數(shù)據(jù)用SPD應(yīng)檢查其接地線是否可靠連接。

第二十五條 通信局（站）要落實(shí)防雷接地日常維護(hù)工作。對(duì)于擴(kuò)建、改建的通信局（站）需要檢查新增設(shè)備是否連接。

第二十六條 當(dāng)監(jiān)控系統(tǒng)發(fā)現(xiàn)防雷裝置損壞或異常時(shí)，要及時(shí)進(jìn)行現(xiàn)場(chǎng)檢查并更換，無(wú)監(jiān)控系統(tǒng)時(shí)，應(yīng)在雷雨后由維護(hù)人員進(jìn)行人工巡檢。

第二十七條 各級(jí)防雷維護(hù)人員應(yīng)當(dāng)定期接受相關(guān)的技術(shù)培訓(xùn)。

第五章 通信防雷產(chǎn)品的檢測(cè)管理

第二十八條 信息產(chǎn)業(yè)部授權(quán)的通信防雷產(chǎn)品檢驗(yàn)機(jī)構(gòu)，負(fù)責(zé)對(duì)通信防雷產(chǎn)品進(jìn)行檢測(cè)工作。在完成檢測(cè)工作后出具公正、有效的防雷產(chǎn)品檢測(cè)報(bào)告。

第二十九條 防雷產(chǎn)品檢測(cè)工作依據(jù)中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)和通信行業(yè)標(biāo)準(zhǔn)及信息產(chǎn)業(yè)部相關(guān)規(guī)定進(jìn)行。

第三十條 經(jīng)檢驗(yàn)合格的防雷產(chǎn)品允許在通信系統(tǒng)內(nèi)和通信網(wǎng)上使用。

第三十一條 通信防雷產(chǎn)品檢驗(yàn)機(jī)構(gòu)，應(yīng)將檢驗(yàn)合格的防雷產(chǎn)品檢驗(yàn)報(bào)告上報(bào)信息產(chǎn)業(yè)部，統(tǒng)一在網(wǎng)上公布。

第六章 通信網(wǎng)防雷電安全保護(hù)的監(jiān)督管理

第三十二條

各地通信管理局應(yīng)當(dāng)根據(jù)抽查實(shí)施細(xì)則組織對(duì)網(wǎng)上的通信防雷設(shè)備定期抽查，相關(guān)檢測(cè)工作通信管理局應(yīng)委托信息產(chǎn)業(yè)部授權(quán)的信息產(chǎn)業(yè)部通信防雷產(chǎn)品檢驗(yàn)機(jī)構(gòu)進(jìn)行檢測(cè)工作。

第三十三條 各通信管理局應(yīng)定期將抽查結(jié)果上報(bào)信息產(chǎn)業(yè)部。

第三十四條 信息產(chǎn)業(yè)部負(fù)責(zé)定期向社會(huì)公布檢測(cè)合格的防雷產(chǎn)品生產(chǎn)和經(jīng)銷(xiāo)單位。

第三十五條 生產(chǎn)和經(jīng)銷(xiāo)單位的通信防雷產(chǎn)品經(jīng)檢測(cè)合格后，應(yīng)承諾其受檢產(chǎn)品品質(zhì)的穩(wěn)定性和可靠性。

第三十六條 生產(chǎn)和經(jīng)銷(xiāo)單位有下列行為之一的，信息產(chǎn)業(yè)部將撤銷(xiāo)對(duì)其產(chǎn)品檢測(cè)合格的結(jié)論，并予以公布：

（一）偽造和涂改檢測(cè)報(bào)告；

（二）冒用和轉(zhuǎn)讓檢測(cè)報(bào)告；

（三）售出的通信防雷產(chǎn)品與檢測(cè)合格的產(chǎn)品不一致。

第三十七條 生產(chǎn)和經(jīng)銷(xiāo)單位對(duì)檢驗(yàn)中心出具的檢測(cè)結(jié)論和檢測(cè)收費(fèi)有異議的，或者認(rèn)為檢驗(yàn)機(jī)構(gòu)的工作人員有違規(guī)行為的，有權(quán)向信息產(chǎn)業(yè)部提出申訴或投訴。

第三十八條 電信運(yùn)營(yíng)商有下列行為之一的，信息產(chǎn)業(yè)部將予通報(bào)批評(píng)，并視情節(jié)輕重追究其相應(yīng)的法律責(zé)任：

（一）隱瞞不報(bào)或謊報(bào)雷電災(zāi)害事故；

（二）未按標(biāo)準(zhǔn)規(guī)范要求在通信局（站）安裝防雷裝置；

（三）安裝和選用未經(jīng)檢驗(yàn)合格的通信防雷產(chǎn)品；

（四）防雷工程不經(jīng)驗(yàn)收投入使用；

（五）未執(zhí)行本辦法而造成重大后果。

第七章 附 則

第三十九條 本辦法由信息產(chǎn)業(yè)部科技司負(fù)責(zé)解釋。

第四十條 本辦法自2005年1月1日起施行。