信計131遲慧《網(wǎng)絡信息安全》專業(yè)技能實訓

東 北 石 油 大 學網(wǎng) 絡 信 息 安 全專業(yè)技能實訓2016 年 7 月 16 日課 程 網(wǎng)絡信息安全專業(yè)技能實訓 題 目 WEB 應用程序安全 學 院 數(shù)學與統(tǒng)計學院 專業(yè)班級 信息與計算科學 13-1 學生姓名 遲慧 學生學號 131001140105 指導教師 劉今子 東北石油大學專業(yè)技能實訓任務書課程 網(wǎng)絡信息安全專業(yè)技能實訓課程設計題目 WEB 應用程序安全專業(yè) 信息與計算科學 姓名 遲慧 學號 131001140105 主要內容、基本要求、主要參考資料等主要內容本文以 Webgoat 的使用和 Web 服務安全配置實驗為例，著重介紹掌握基于應用層的弱點測試手段與方法，以及通過設置 windows2003 和 IIS，使得 WEB 網(wǎng)站更加安全，并了解 WEB 應用程序安全。專業(yè)技能實訓的要求：1.獨立完成，并提交一篇實訓報告。2.論文的主要內容包括：所研究的 6-8 個實驗題目所屬分類的研究現(xiàn)狀，常用技術，實驗案例等等；要求有綜合性，技術性。必要的計算機程序。3.文檔格式：參照東北石油大學課程設計撰寫規(guī)范和專業(yè)技能實訓實踐大綱。4.實訓以答辯方式進行考核。主要參考資料： 1 王其良等 .計算機網(wǎng)絡安全技術M.北京大學出版社.2007(7).2 吳灝等. 網(wǎng)絡攻防技術M.機械工業(yè)出版社.2009(8).3 思科系統(tǒng)網(wǎng)絡技術有限公司.下一代網(wǎng)絡安全M.北京郵電大學出版社.2007(6).4 石志國等 .計算機網(wǎng)絡安全教程M.清華大學出版社.2007(1).5 崔寶江等 .信息安全實驗指導M.國防工業(yè)出版社.2005(5).完成期限 2016 年 7 月 7 日7 月 16 日 指導教師 劉今子 專業(yè)負責人 仲光蘋 2016 年 7 月 7 日東北石油大學本科專業(yè)技能實訓論文I摘 要在飛速發(fā)展的信息時代，網(wǎng)絡已經(jīng)成為主要的信息共享、交流的手段。近幾年來，隨著 Internet 的快速發(fā)展，基于 Internet 的 MIS 系統(tǒng)越來越多地被應用起來。電子商務、在線考試、學生網(wǎng)上成績查詢、網(wǎng)上選課等，這些系統(tǒng)或 Web 應用程序的運行，把靜態(tài)的網(wǎng)頁和動態(tài)的網(wǎng)頁相結合，極大地豐富了 Internet 的內容。本文有四個實例。第一個是 Webgoat 的使用，它是使用 Webgoat 進行字符串型SQL 注入和對認證安全漏洞進行攻擊。第二個是 Web 服務安全配置實驗，它是通過設置 windows2003 和 IIS，使得 Web 網(wǎng)站更加安全。第三個是主機存活性判斷，它的內容是在 Windows 環(huán)境下利用 SuperScan 發(fā)現(xiàn)網(wǎng)段內的存活主機，通過本文可以了解主機連通性探測的工作原理，能夠使用工具判斷主機存活性，以及發(fā)現(xiàn)目標網(wǎng)段內的存活主機。第四個是 NET 命令入侵實例，介紹了 NET 命令的使用方法和它的參數(shù)搭配，通過本文可以了解 NET 入侵的過程，掌握 NET 命令的使用方法和它的參數(shù)搭配。目前，網(wǎng)絡的安全工作大多集中在網(wǎng)絡本身，Web 應用程序的安全被忽略了。許多黑客可以突破 SSL 加密和各種防火墻，攻入 Web 網(wǎng)站的內部，竊取信息。然而基于Web 技術的應用又具有很大的優(yōu)勢和應用前景，因此探討和研究 Web 應用程序的安全問題具有很重要的意義。關鍵字：Web 應用程序； Webgoat 的使用；Web 服務安全配置東北石油大學本科專業(yè)技能實訓論文II目錄第 1 章 基礎知識 .- 1 -第 2 章 基本操作方法 .- 2 -第 3 章 實訓項目 .- 3 -3.1 實訓項目 1WEBGOAT 的使用 .- 3 -3.2 實訓項目 2WEB 服務安全配置實驗 .- 4 -3.3 實訓項目 3主機存活性判斷 .- 8 -3.4 實訓項目 4NET 命令入侵實例 .- 10 -3.5 本章小結 .- 12 -結論 .- 13 -參考文獻 .- 14 -東北石油大學本科專業(yè)技能實訓論文- 1 -第 1 章 基礎知識1、實訓目的：主要為配合網(wǎng)絡安全的相關理論知識，以此為基礎進行一系列的實際安全配置實驗訓練。在實訓學習和實踐過程中，學生以解決實際問題為主線，進行相關實際的網(wǎng)絡安全配置和制定系統(tǒng)防范措施。學生通過對網(wǎng)絡與信息安全技術的學習，已經(jīng)初步掌握了網(wǎng)絡安全技術中所涉及到的基礎安全技術知識。網(wǎng)絡與信息安全實訓，是為了加強網(wǎng)絡與信息安全技術的基礎，使學生對網(wǎng)絡安全技術有更全面的理解，進一步提高學生運用網(wǎng)絡安全技術解決實際問題的能力。實訓課程設計主要目的：(1) 掌握基于應用層的弱點測試手段與方法。(2) 通過設置 windows2003 和 IIS，使得 WEB 網(wǎng)站更加安全。(3) 了解主機連通性探測的工作原理，能夠使用工具判斷主機存活性，以及發(fā)現(xiàn)目標網(wǎng)段內的存活主機。(4)了解 NET 入侵的過程；掌握 NET 命令的使用方法和它的參數(shù)搭配。實訓的任務主要是使得學生掌握網(wǎng)絡與信息安全技術領域的基本理論和方法，具有較強的自律意識和信息安全意識，具有使用網(wǎng)絡安全方面的軟硬件產品解決實際問題的能力，能夠完成一系列的實際安全配置實驗內容，并且能夠熟練使用相關安全工具和軟件。2、實訓內容：使用 WebGoat 進行字符串型 SQL 注入和對認證安全漏洞進行攻擊。通過設置 windows2003 和 IIS，使得 WEB 網(wǎng)站更加安全。介紹主機生存性探測的原理；Windows 環(huán)境下利用 SuperScan 發(fā)現(xiàn)網(wǎng)段內的存活主機。NET 命令的使用方法和它的參數(shù)搭配。3、實訓所用設施：PC 機、交換機、 windows server 2003、Windows XP 操作系統(tǒng)、windows XP professional、WebGoat 工具、java 環(huán)境、及其他軟件等。4、實訓任務及要求：根據(jù)提供的實訓題目，引導學生采用正確的實驗、實訓方法，啟發(fā)學生擴大解決問題的思路，從而得到正確的結果，并且分析出現(xiàn)的各種現(xiàn)象，提高實驗、實訓效果。東北石油大學本科專業(yè)技能實訓論文- 2 -實訓過程中，注意記錄實訓步驟。做完實驗、實訓，寫出實訓報告或論文。第 2 章 基本操作方法1、按照文檔規(guī)范要求進行操作，養(yǎng)成查閱手冊、文檔的良好習慣；2、根據(jù)實訓步驟要求進行操作，注意積累正確操作方法；3、操作過程中注意記錄錯誤提示，并利用各種資源進行更正，積累錯誤診斷經(jīng)驗，增強獨立解決問題的能力；4、對特殊疑難問題采用討論、協(xié)作等方式進行解決，有意識地訓練團隊合作意識；5、實訓報告或論文應多包含在實訓過程中出現(xiàn)的錯誤及解決方法。東北石油大學本科專業(yè)技能實訓論文- 3 -第 3 章 實訓項目3.1 實訓項目 1Webgoat 的使用（1）首先我們進行字符串型SQL注入實驗。在左側列表中找到String SQL Injection一項，點擊進入。圖 3-1 進入界面(2)進入后在用戶提交信息的窗口中可以看到提示的 SQL 語言：SELECT * FROM user_data WHERE last_name = Your Name，該測試項為 String SQL Injection，對于 SQL 語句中的“”元字符，它作為查詢參數(shù)的左閉合符號，可以在 Your Name中輸入“”使其閉合。故我們輸入 or 1=1 這樣，原來 SQL 語句中的就作為了1 的右閉合符號。然后點擊“Go!”。然后看到我們此次輸入所產生的 SQL 查詢命令。這樣就得到了所有的用戶列表。該攻擊完成，左側打上了綠色的對勾。圖 3-2 用戶列表東北石油大學本科專業(yè)技能實訓論文- 4 -(3)下面我們進行Forgot Password項的攻擊。在左側列表中找到Forgot Password一項，點擊進入。通常情況下程序員都會采用有意義的名稱作為表明和字段名。一般管理員表為admin,新聞表news,留言簿guestbook或guest,文章系統(tǒng)表article。因此利用一些經(jīng)驗和可能的猜測回答來破解系統(tǒng)，獲取用戶密碼。此處我們嘗試admin，然后點“Submit”。圖 3-3 獲取用戶密碼(4)彈出以下頁面，說明用戶名存在，現(xiàn)在要求回答認證問題，有要求可以得知Webgoat用戶的答案為red，故猜測問答的答案可能僅僅為簡單的顏色。嘗試yellow，發(fā)現(xiàn)并沒有通過。再嘗試green，發(fā)現(xiàn)通過，得到了admin賬戶的密碼。圖 3-4 得到 admin 賬戶密碼3.2 實訓項目 2Web 服務安全配置實驗3.2.1 設置win2003的安全性(1)給Guest賬戶設置超復雜密碼然后禁用。東北石油大學本科專業(yè)技能實訓論文- 5 -右擊我的電腦，單擊屬性，單擊管理。計算機管理-系統(tǒng)工具-本地用戶和組中的用戶里面右擊 Guest 賬號設置密碼。為了保險起見，最好給 Guest 加一個復雜的密碼。你可以打開記事本，在里面輸入一串包含特殊字符、數(shù)字、字母的長字符串，然后把它作為 Guest 用戶的密碼拷進去。如圖所示：圖 3-5 Guest 賬號設置密碼出現(xiàn)設置密碼提示，點擊繼續(xù)。給 Guest 設置一個超復雜的密碼，然后點擊確定，提示密碼設置成功，點擊確定。圖 3-6 設置一個超復雜的密碼(2)禁用 Guest 賬戶。右擊 Guest 賬戶，點擊屬性。勾選用戶不能更改密碼、密碼永不過期、賬戶已禁用。圖 3-7 禁用 Guest 賬戶東北石油大學本科專業(yè)技能實訓論文- 6 -此時可以看到 Guest 賬戶已經(jīng)被禁用。圖 3-8 Guest 賬戶已經(jīng)被禁用3.2.2 IIS 站點設置點擊“開始”“管理工具”“Internet 信息服務管理”圖 3-9 Internet 信息服務管理(1) 將 IIS 目錄數(shù)據(jù)與系統(tǒng)磁盤 C 盤分開，保存在專用磁盤空間內。圖 3-10 IIS 目錄數(shù)據(jù)與系統(tǒng)磁盤 C 盤分開東北石油大學本科專業(yè)技能實訓論文- 7 -(2) 在 IIS 管理器中刪除必須之外的任何沒有用到的映射（保留 asp, aspx html htm 等必要映射即可）右鍵單擊網(wǎng)站默認網(wǎng)站右鍵屬性文檔，圖 3-11 刪除沒有用到的映射(3) 在 IIS 中將 HTTP404 Object Not Found 出錯頁面通過 URL 重定向到一個定制 HTM文件。右鍵單擊網(wǎng)站默認網(wǎng)站右鍵屬性自定義錯誤，查看 404 錯誤頁面的位置。圖 3-12 查看 404 錯誤頁面(4)Web 站點權限設定圖 3-13 Web 站點權限設定東北石油大學本科專業(yè)技能實訓論文- 8 -(5) 卸載最不安全的組件，最簡單的辦法是直接卸載后刪除相應的程序文件。(6) 使用應用程序池來隔離應用程序雙擊“Internet 信息服務 (IIS) 管理器”。 右鍵單擊您想要分配到應用程序池的網(wǎng)站或應用程序，此處以默認網(wǎng)站為例，然后單擊“屬性”。 根據(jù)您選擇的應用程序類型，單擊“主目錄”。單擊下面應用程序池，單擊您想要分配網(wǎng)站或應用程序的應用程序池的名稱，然后單擊“確定”。圖 3-14 使用應用程序池來隔離應用程序3.3 實訓項目 3主機存活性判斷使用 SuperScan 掃描網(wǎng)段內的存活主機(1)打開 SuperScan 軟件，在 “d:tools目錄下找到superscan 壓縮包文件，這是一款綠色軟件，直接解壓就可以使用，沒有安裝文件。圖 3-15 找到 superscan 壓縮包文件(2)填寫想要掃描的目標地址，可以是單個主機，也可以是某個網(wǎng)絡范圍。東北石油大學本科專業(yè)技能實訓論文- 9 -圖 3-16 填寫想要掃描的目標地址(3)在“主機和服務掃描設置”選項中可以選擇探測主機存活性時使用的掃描方式，支持多種掃描方式并發(fā)。選擇想要使用的掃描方式，對目標主機進行探測。圖 3-17 選擇想要使用的掃描方式(4)掃描結束之后，點擊結束按鈕，然后再點擊“查看html結果”可以生成實驗報告。圖 3-18 查看 html 結果東北石油大學本科專業(yè)技能實訓論文- 10 -3.4 實訓項目 4NET 命令入侵實例(1)登陸windows xp主機：“net use 81ipc$ 1/user:1 ”如圖：圖 3-19 登陸 windows xp 主機(2)創(chuàng)建一個用戶，由于SA的權限相當于系統(tǒng)的超級用戶，如：加一個sysusers的用戶密碼為111111 。輸入命令：“net user sysusers 111111 /add”，如下圖：圖 3-20 創(chuàng)建一個用戶(3)顯示命令成功后，就可以把他加入Administrators組了，輸入命令：“net localgroup Administrators sysusers /add”，如下圖：圖 3-21 輸入命令(4)打開對方的TELNET服務命令為：“net start telnet”如下圖：圖 3-22 打開對方的 TELNET 服務命令(5)將 telnet 服務設置為“自動”，命令為“sc config tlntsvr start= auto”，需要注意的是，telnet 服務在這里一定要用“tlntsvr”，用“sc config telnet start= auto”是無法啟動的，另外“=”號后邊和“auto”之前要有一個空格，如下圖：東北石油大學本科專業(yè)技能實訓論文- 11 -圖 3-23 telnet 服務設置為“自動”(6)啟動“telnet”服務，命令為“net start telnet”或者用“net start tlntsvr”進行啟動，如下圖：圖 3-24 啟動“telnet”服務(7)激活 Guest 用戶（guest 是 windows 的默認用戶），輸入命令：“net user guest /active：yes”。圖 3-25 激活 Guest 用戶(8)把一個用戶的密碼改掉，把 guest 的密碼改為 111111，其他用戶也可以的。只要有權限就可以。執(zhí)行“net user guest 111111”命令，如下圖：圖 3-26 把一個用戶的密碼改掉(9)退出遠程連接命令：“net use * /delete”，如下圖：東北石油大學本科專業(yè)技能實訓論文- 12 -圖 3-27 退出遠程連接命令(10)用 net 命令的幫助時，所有 net 命令接受選項/ yes 和/no（可縮寫為/y 和/n）。/y 對命令產生的任何交互提示自動回答“是”，/n 回答“否”。例如，net stop server 通常提示確認是否根據(jù)服務器服務結束所有服務，net stop server /y 自動回答“是”并關閉服務器服務。如下圖：圖 3-28 net 命令的幫助(11)提供網(wǎng)絡命令列表及幫助主題，或提供指定命令或主題的幫助。如想得到net命令的用法可以用“net /?”查詢，如果想知道net命令中“use”的用法，可以直接輸入“net use ?”或者“net use help”來進行進一步查詢，或者用“net help use”來獲得更詳細的內容。東北石油大學本科專業(yè)技能實訓論文- 13 -圖 3-29 提供網(wǎng)絡命令列表及幫助主題3.5 本章小結目前，網(wǎng)絡的安全工作大多集中在網(wǎng)絡本身，Web 應用程序的安全被忽略了。許多黑客可以突破 SSL 加密和各種防火墻，攻入 Web 網(wǎng)站的內部，竊取信息。然而，基于 Web 技術的應用又具有很大的優(yōu)勢和應用前景，因此，探討和研究 Web 應用程序的安全問題具有很重要的意義。本章就通過 Webgoat 的使用和 Web 服務安全配置實驗簡單的介紹了 Web 應用程序安全。東北石油大學本科專業(yè)技能實訓論文- 14 -結 論目前，網(wǎng)絡的安全工作大多集中在網(wǎng)絡本身，Web 應用程序的安全被忽略了。許多黑客可以突破 SSL 加密和各種防火墻，攻入 Web 網(wǎng)站的內部，竊取信息。然而基于Web 技術的應用又具有很大的優(yōu)勢和應用前景，因此探討和研究 Web 應用程序的安全問題具有很重要的意義。本文主要分四個部分。分別介紹了 Webgoat 的使用、Web 服務安全配置、主機存活性判斷和 NET 命令入侵實例。第一部分，主要介紹了 Webgoat 的使用，SQL 注入是一種利用用戶輸入構造 SQL 語句的攻擊。如果 Web 應用沒有適當?shù)尿炞C用戶輸入的信息，攻擊者就有可能改變后臺執(zhí)行的 SQL 語句的結構。 Web 應用程序經(jīng)常提供一種讓他們的用戶能夠找回忘記的密碼的機制，但通常許多 Web 應用程序無法正確執(zhí)行這種機制，用來驗證用戶身份的信息往往是過于簡單的。這就在某種程度上提供了一種可攻擊的漏洞。第二部分，介紹了 Web 服務安全配置實驗，首先創(chuàng)建一個安全可靠的Web 服務器，必須要實現(xiàn)操作系統(tǒng)和 IIS 的雙重安全，因為 IIS 的用戶同時也是Windows 2003 用戶，并且 IIS 目錄的權限依賴 Windows 的 NTFS 文件系統(tǒng)的權限控制，所以保護 IIS 安全的第一步就是確保 Windows 2003 操作系統(tǒng)的安全。實際上，Web 服務器安全的根本就是保障操作系統(tǒng)的安全。本文的后兩部分簡單介紹了主機存活性判斷和 NET 命令入侵實例。通過對網(wǎng)絡信息安全的學習以及這次的專業(yè)技能實訓，可以掌握網(wǎng)絡信息安全技術領域的基本理論和方法并對 Web 應用程序安全有了更加深刻地理解。同時具有使用網(wǎng)絡安全方面的軟硬件產品解決實際問題的能力，能夠完成一系列的實際安全配置實驗內容，并且能夠熟練使用相關安全工具和軟件。東北石油大學本科專業(yè)技能實訓論文- 15 -參考文獻1 王其良等 .計算機網(wǎng)絡安全技術M.北京大學出版社.2007(7).2 吳灝等. 網(wǎng)絡攻防技術M.機械工業(yè)出版社.2009(8).3 思科系統(tǒng)網(wǎng)絡技術有限公司.下一代網(wǎng)絡安全M.北京郵電大學出版社.2007(6).4 石志國等 .計算機網(wǎng)絡安全教程M.清華大學出版社.2007(1).5 崔寶江等 .信息安全實驗指導