《网络信息安全》专业技能实训-WEB应用程序安全.doc

1、 东 北 石 油 大 学 网 络 信 息 安 全 专业技能实训 2016年 7 月 16 日 课 程 网络信息安全专业技能实训 题 目 WEB应用程序安全 学 院 数学与统计学院 专业班级 信息与计算科学 13-1 学生姓名 迟慧 学生学号 131001140105 指导 教师 刘今子 东北石油大学专业技能实训任务书 课程 网络信息安全专业技能实训课程设计 题目 WEB 应用程序安全 专业 信息与计算科学 姓名 迟慧 学号 131001140105 主要内容、基本要求、主要参考资料等 主要内容 本文以 Webgoat 的使用和 Web 服务安全配置实验为例， 着重介绍 掌握基于应 用层的弱点测

2、试手段与方法，以及通过设置 windows2003 和 IIS，使得 WEB 网站更加安全，并 了解 WEB 应用程序安全 。 专业技能实训的要求 ： 1.独立完成，并提交一篇实训报告。 2.论文的主要内容包括： 所研究的 6-8 个实验题目所属分类的研究现状，常用技术，实验案例等等；要求有综合性，技术性 。必要的计算机程序。 3.文档格式：参照东北石油大学课程设计撰写规范和专业技能实训实践大纲。 4.实训以答辩方式进行考核。 主要参考资料： 1 王其良等 .计算机网络安全技术 M.北京大学出版社 .2007(7). 2 吴灏等 .网络攻防技术 M.机械工业出版社 .2009(8). 3 思科

3、系统网络技术有限公司 .下一代网络安全 M.北京邮电大学出版社 .2007(6). 4 石志国等 .计算机网络安全教程 M.清华大学出版社 .2007(1). 5 崔宝江等 .信息安全实验指导 M.国防工业出版社 .2005(5). 完成期限 2016 年 7 月 7 日 7 月 16 日 指导教师 刘今子 专业负责人 仲光苹 2016 年 7 月 7 日东北石油大学本科专业技能实训论文 I 摘 要 在飞速发展的信息时代，网络已经成为主要的信息共享、交流的手段。近几年来，随着 Internet 的快速发展，基于 Internet 的 MIS 系统越来越多地被应用起来。电子商务、在线考试、学生网

4、上成绩查询、网上选课等，这些系统或 Web 应用程序的运行，把静态的网页和动态的网页相结合，极大地丰富了 Internet 的内容。 本文有四个实例。第一个是 Webgoat 的使用，它是 使用 Webgoat 进行字符串型 SQL注入和对认证安全漏洞进行攻击 。第二个是 Web 服务安全配置实验，它是通过设置windows2003 和 IIS，使得 Web 网站更加安全。第三个是 主机存活性判断，它的内容是在 Windows 环境下利用 SuperScan 发现网段内的存活主机 ， 通过本文 可以 了解主机连通性探测的工作原理，能够使用工具判断主机存活性，以及发现目标网段内的存活主机。第四个

5、是 NET 命令入侵实例，介绍了 NET 命令的使用方法和它的参数搭配， 通过本文可以 了解 NET 入侵的过程，掌握 NET 命令的使用方法和它的参数搭配。 目前，网络的安全工作大多集中在网络本身， Web 应用程序的安全被忽略了。许多黑 客可以突破 SSL 加密和各种防火墙，攻入 Web 网站的内部，窃取信息。然而基于 Web技术的应用又具有很大的优势和应用前景，因此探讨和研究 Web 应用程序的安全问题具有很重要的意义。 关键字： Web 应用程序； Webgoat 的使用； Web 服务安全配置 东北石油大学本科专业技能实训论文 II 目录 第 1 章 基础知识 . - 1 - 第 2

6、 章 基本操作方法 . - 2 - 第 3 章 实训项目 . - 3 - 3.1 实训项目 1 WEBGOAT 的使用 . - 3 - 3.2 实训项目 2 WEB 服务 安全配置实验 . - 4 - 3.3 实训项目 3 主机存活性判断 . - 3 - 3.4 实训项目 4 NET 命令入侵实例 . - 3 - 3.5 本章小结 . - 12 - 结论 . - 13 - 参考文献 . - 14 - 东北石油大学本科专业技能实训论文 - 1 - 第 1 章 基础知识 1、实训目的： 主要为配合网络安全的相关理论知识，以此为基础进行一系列的实际安全配置实验训练。在实训学习和实践过程中，学生以解

7、决实际问题为主线，进行相关实际的网络安全配置和制定系统防范措施。 学生通过对网络与信息安全技术的学习，已经初步掌握了网络安全技术中所涉及到的基础安全技术知识。网络与信息安全实训，是为了加强网络与信息安全技术的基础，使学生对网络安全技术有更全面的理解，进一步提高学生运用网络安全技术解决实际问题的能力。 实训课程设计主要目的： (1) 掌握基于应用层的弱点测试手段与方法。 (2) 通过设置 windows2003 和 IIS，使得 WEB 网站更加安全。 (3) 了解主机连通性探测的工作原理，能够使用工具判断主机存活性， 以及发现目标网段内的存活主机。 (4)了解 NET 入侵的过程；掌握 NET

8、 命令的使用方法和它的参数搭配。 实训的任务主要是使得学生掌握网络与信息安全技术领域的基本理论和方法，具有较强的自律意识和信息安全意识，具有使用网络安全方面的软硬件产品解决实际问题的能力，能够完成一系列的实际安全配置实验内容，并且能够熟练使用相关安全工具和软件。 2、实训内容： 使用 WebGoat 进行字符串型 SQL 注入和对认证安全漏洞进行攻击。 通过设置 windows2003 和 IIS，使得 WEB 网站更加安全。介绍主机生存性探测的原理； Windows 环境下利用 SuperScan 发现网段内的存活主机。 NET 命令的使用方法和它的参数搭配。 3、实训所用设施： PC 机、

9、 交换机、 windows server 2003、 Windows XP 操作系统 、windows XP professional、 WebGoat 工具 、 java 环境、 及其他软件等 。 4、实训任务及要求： 根据提供的实训题目，引导学生采用正确的实验、实训方法，启发学生扩大解决问题的思路，从而得到正确的结果，并且分析出现的各种现象，提高实验、实训效果。 实训过程中，注意记录实训步骤。做完实验、实训 ，写出实训报告或论文。 东北石油大学本科专业技能实训论文 - 2 - 第 2 章 基本操作方法 1、按照文档规范要求进行操作，养成查阅手册、文档的良好习惯； 2、根据实训步骤要求进行操

10、作，注意积累正确操作方法； 3、操作过程中注意记录错误提示，并利用各种资源进行更正，积累错误诊断经验，增强独立解决问题的能力； 4、对特殊疑难问题采用讨论、协作等方式进行解决，有意识地训练团队合作意识； 5、实训报告或论文应多包含在实训过程中出现的错误及解决方法。 东北石油大学本科专业技能实训论文 - 3 - 第 3 章 实训项目 3.1 实训项目 1Webgoat 的使用 （ 1） 首先我们进行字符串型 SQL注入实验。在左侧 列表中找到 String SQL Injection一项，点击进入。 图 3-1 进入界面 (2)进入后在用户提交信息的窗口中可以看到提示的 SQL 语言： SELE

11、CT * FROM user_data WHERE last_name = Your Name，该测试项为 String SQL Injection，对于 SQL 语句中的“”元字符，它作为查询参数的左闭合符号，可以在 Your Name 中输入“”使其闭合。故我们输入 or 1 = 1 这样，原来 SQL语句中的就作为了 1的右闭合符号。然后点击“ Go!”。 然后看到我们此次输入所产生的 SQL 查询命令。这样就得到了所有的用户列表。该攻击完成，左侧打上了绿色的对勾。 图 3-2 用户列表 东北石油大学本科专业技能实训论文 - 4 - (3)下面我们进行 Forgot Password项的

12、攻击。在左侧列表中找到 Forgot Password一项，点击进入。通常情况下程序员都会采用有意义的名称作为表明和字段名。一般管理员表为 admin,新闻表 news,留言簿 guestbook或 guest,文章系统表 article。因此利用一些经验和可能的猜测回答来破解系统，获取用户密码。此处我们尝试 admin，然后点“ Submit”。 图 3-3 获取用户密码 (4)弹出以下页面，说明用户名存在，现在要求回答认证问题，有要求可以得知 Webgoat用户的答案为 red，故猜测问答的答案可能仅仅为简单的颜色。尝试 yellow，发现并没有通过。再尝试 green，发现通过，得到了

13、admin账户的密码。 图 3-4 得到 admin 账户密码 3.2 实训项目 2Web 服务安全配置实验 3.2.1 设置 win2003的安全性 (1)给 Guest账户设置超复杂密码然后禁用。 东北石油大学本科专业技能实训论文 - 5 - 右击我的电脑，单击属性，单击管理。计算机管理 -系统工具 -本地用户和组中的用户里面右击 Guest 账号设置密码。为了保险起见，最好给 Guest 加一个复杂的密码。你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为 Guest 用户的密码拷进去。如图所示： 图 3-5 Guest 账号设置密码 出现设置密码提示，点击

14、继续。给 Guest 设置一个超复杂的密码，然后点击确定，提示密码设置成功，点击确定。 图 3-6 设置一个超复杂的密码 (2)禁用 Guest 账户。右击 Guest 账户，点击属性。勾选用户不能更改密码、密码永不过期、账户已禁用。 图 3-7 禁用 Guest 账户 东北石油大学本科专业技能实训论文 - 6 - 此时可以看到 Guest 账户已经被禁用。 图 3-8 Guest 账户已经被禁用 3.2.2 IIS 站点设置 点击“开始” “管理工具” “ Internet 信息服务管理” 图 3-9 Internet 信息服务管理 (1) 将 IIS 目录数据与系统磁盘 C盘分开，保存在专用磁盘空间内。 图 3-10 IIS 目录数据与系统磁盘 C 盘分开