Web安全與防護 （微課版）05-3 項目五 安全的個人信息修改-任務(wù)三四教案

XX學院課程教案開課學院XX學院課程名稱WEB安全與防護授課學期XX學年第X學期授課教師XXX授課班級XXX總課時64

項目五任務(wù)三《跨站請求偽造漏洞檢測與利用》任務(wù)四《跨站請求偽造漏洞修復(fù)與防范》教學設(shè)計方案一、教學分析課題名稱跨站請求偽造漏洞檢測與利用、跨站請求偽造漏洞修復(fù)與防范授課方式線下講課授課學時2授課地點授課時間202X年XX月XX日教學內(nèi)容1、任務(wù)描述：檢測和利用跨站請求偽造漏洞、對跨站請求偽造漏洞進行修復(fù)和防范。2、知識準備：HTML、JavaScript、CSS前端知識及HTTP協(xié)議知識。3、任務(wù)實施：檢測和利用博客系統(tǒng)中的跨站請求偽造漏洞、針對博客系統(tǒng)相關(guān)功能存在的跨站請求偽造漏洞進行修復(fù)和防范。學情分析學習者前期學習了跨站請求偽造漏洞原理和特點的知識，具備了針對跨站請求偽造漏洞的利用檢測及修復(fù)防范的知識儲備，但缺乏融會貫通和綜合運用能力，未接觸過職業(yè)工作和專業(yè)技能競賽。教學目標知識目標1、熟悉跨站請求偽造漏洞的檢測方法。2、熟悉跨站請求偽造漏洞的利用方法。3、熟悉跨站請求偽造漏洞的修復(fù)防范方法能力目標1、能夠檢測出跨站請求偽造漏洞。2、能夠利用跨站請求偽造漏洞。3、能夠?qū)崿F(xiàn)對跨站請求偽造漏洞的修復(fù)和防范素質(zhì)目標1、養(yǎng)成個人敏感信息保護習慣。2、提高網(wǎng)絡(luò)安全防范意識。教學重點跨站請求偽造漏洞的檢測、跨站請求偽造漏洞的四種修復(fù)防范方法教學難點跨站請求偽造漏洞的利用二、教學策略教學資源在線開放課程平臺，超星課程平臺，多媒體課件，理實一體化實訓室，網(wǎng)絡(luò)教學資源。實物：教材，軟件工具包。教學方法與手段1、教學方法：案例法、講授法、自學法2、教學模式：采用線上線下混合教學模式教學重點解決措施重點：跨站請求偽造漏洞的檢測、跨站請求偽造漏洞的四種修復(fù)防范方法措施：老師講解加演示教學難點解決措施難點：跨站請求偽造漏洞的利用措施：老師講解加演示三、教學實施第3次課（2課時）課前準備教學內(nèi)容教師活動學生活動設(shè)計意圖備注提交手機，組織學生座位靠前，強調(diào)學習紀律，點名前次課程內(nèi)容回顧。教師組織教學學生看書，預(yù)習學生課前線上學習相關(guān)知識，引導(dǎo)學習方式轉(zhuǎn)變，培養(yǎng)自主學習能力。課中探究教學內(nèi)容教師活動學生活動設(shè)計意圖任務(wù)三跨站請求偽造漏洞檢測與驗證引導(dǎo)學生通過教材、網(wǎng)絡(luò)及學習資料逐一預(yù)習相關(guān)的項目理論知識。本項目工作任務(wù)：1.跨站請求偽造漏洞的檢測2.跨站請求偽造漏洞的利用任務(wù)四跨站請求偽造漏洞修復(fù)與防范引導(dǎo)學生通過教材、網(wǎng)絡(luò)及學習資料逐一預(yù)習相關(guān)的項目理論知識。本項目工作任務(wù)：1.同源檢測2.SamesiteCookie3.CSRFToken4.特定情況下的必要嚴重教師講授、演示。學生跟隨老師講課，加深印象，準備自己操作多媒體教學、啟發(fā)式教學任務(wù)三跨站請求偽造漏洞檢測與驗證1.跨站請求偽造漏洞的檢測CSRF攻擊是攻擊者借助受害者的cookie騙取服務(wù)器的信任，但是攻擊者并不能拿到cookie，也看不到cookie的內(nèi)容。另外，對于服務(wù)器返回的結(jié)果，由于瀏覽器同源策略的限制，攻擊者也無法進行解析。因此，攻擊者無法從返回的結(jié)果中得到任何東西，他所能做的就是給服務(wù)器發(fā)送請求，以執(zhí)行請求中所描述的命令，在服務(wù)器端直接改變數(shù)據(jù)的值，而非竊取服務(wù)器中的數(shù)據(jù)。2.跨站請求偽造漏洞的利用使用BurpSuite截獲信息，并利用CSRF漏洞，先截獲口令修改的http請求包，然后生成CSRFPoc，csrfHTML成功生成后，將其中的html存為一個單獨的文件，也可以做一定的迷惑、引誘性偽裝，將其上線到一個網(wǎng)頁中發(fā)送給受害者。如果受害者點擊該鏈接，那么他的該站密碼會修改為我們提前設(shè)置好的字符任務(wù)四跨站請求偽造漏洞修復(fù)與防范1.同源檢測禁止外域（或者不受信任的域名）對我們發(fā)起請求。在HTTP協(xié)議中，每一個異步請求都會攜帶兩個Header，用于標記來源域名：OriginHeader和RefererHeader。通過Header的驗證，我們可以知道發(fā)起請求的來源域名，這些來源域名可能是網(wǎng)站本域，或者子域名，或者有授權(quán)的第三方域名，又或者來自不可信的未知域名。在Web應(yīng)用中檢查請求頭中的Header字段，確保請求來自合法的來源。但是，這種方式并不是完全可靠的，因為攻擊者可以通過篡改HTTP請求頭的方式繞過Header檢查。2.SamesiteCookie為了從源頭上解決CSRF攻擊，Google起草了一份草案來改進HTTP協(xié)議，那就是為Set-Cookie響應(yīng)頭新增Samesite屬性，它用來標明這個Cookie是個“同站Cookie”，同站Cookie只能作為第一方Cookie，不能作為第三方Cookie。3.CSRFToken在應(yīng)用程序中使用CSRFToken可以有效地防止CSRF攻擊。CSRFToken是在服務(wù)器端生成的一段隨機字符串，該字符串與用戶會話相關(guān)聯(lián)，作為表單隱藏字段或請求參數(shù)的一部分，一起發(fā)送給客戶端瀏覽器。當客戶端提交表單或請求時，服務(wù)器端會驗證請求中的Token是否與用戶會話中的Token一致，如果一致則認為請求是合法的，否則拒絕請求。這樣，即使攻擊者成功偽造了請求，也無法獲取有效的令牌信息，從而無法完成攻擊。4.特定情況下的必要嚴重在特定情況下加入一些特定的驗證來防止CSRF攻擊，當用戶在應(yīng)用程序中執(zhí)行敏感操作時，應(yīng)用程序可以要求用戶提供額外的驗證信息，例如輸入密碼或者提供其他的身份信息。教師講授、演示。學生學習、模仿，練習。操作演示、啟發(fā)式教學課后拓展教學內(nèi)容教師活