Web安全與防護(hù) （微課版）05-3 項(xiàng)目五 安全的個人信息修改-任務(wù)三四教案

XX學(xué)院課程教案開課學(xué)院XX學(xué)院課程名稱WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級XXX總課時64

項(xiàng)目五任務(wù)三《跨站請求偽造漏洞檢測與利用》任務(wù)四《跨站請求偽造漏洞修復(fù)與防范》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱跨站請求偽造漏洞檢測與利用、跨站請求偽造漏洞修復(fù)與防范授課方式線下講課授課學(xué)時2授課地點(diǎn)授課時間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：檢測和利用跨站請求偽造漏洞、對跨站請求偽造漏洞進(jìn)行修復(fù)和防范。2、知識準(zhǔn)備：HTML、JavaScript、CSS前端知識及HTTP協(xié)議知識。3、任務(wù)實(shí)施：檢測和利用博客系統(tǒng)中的跨站請求偽造漏洞、針對博客系統(tǒng)相關(guān)功能存在的跨站請求偽造漏洞進(jìn)行修復(fù)和防范。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了跨站請求偽造漏洞原理和特點(diǎn)的知識，具備了針對跨站請求偽造漏洞的利用檢測及修復(fù)防范的知識儲備，但缺乏融會貫通和綜合運(yùn)用能力，未接觸過職業(yè)工作和專業(yè)技能競賽。教學(xué)目標(biāo)知識目標(biāo)1、熟悉跨站請求偽造漏洞的檢測方法。2、熟悉跨站請求偽造漏洞的利用方法。3、熟悉跨站請求偽造漏洞的修復(fù)防范方法能力目標(biāo)1、能夠檢測出跨站請求偽造漏洞。2、能夠利用跨站請求偽造漏洞。3、能夠?qū)崿F(xiàn)對跨站請求偽造漏洞的修復(fù)和防范素質(zhì)目標(biāo)1、養(yǎng)成個人敏感信息保護(hù)習(xí)慣。2、提高網(wǎng)絡(luò)安全防范意識。教學(xué)重點(diǎn)跨站請求偽造漏洞的檢測、跨站請求偽造漏洞的四種修復(fù)防范方法教學(xué)難點(diǎn)跨站請求偽造漏洞的利用二、教學(xué)策略教學(xué)資源在線開放課程平臺，超星課程平臺，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：跨站請求偽造漏洞的檢測、跨站請求偽造漏洞的四種修復(fù)防范方法措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：跨站請求偽造漏洞的利用措施：老師講解加演示三、教學(xué)實(shí)施第3次課（2課時）課前準(zhǔn)備教學(xué)內(nèi)容教師活動學(xué)生活動設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動學(xué)生活動設(shè)計(jì)意圖任務(wù)三跨站請求偽造漏洞檢測與驗(yàn)證引導(dǎo)學(xué)生通過教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識。本項(xiàng)目工作任務(wù)：1.跨站請求偽造漏洞的檢測2.跨站請求偽造漏洞的利用任務(wù)四跨站請求偽造漏洞修復(fù)與防范引導(dǎo)學(xué)生通過教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識。本項(xiàng)目工作任務(wù)：1.同源檢測2.SamesiteCookie3.CSRFToken4.特定情況下的必要嚴(yán)重教師講授、演示。學(xué)生跟隨老師講課，加深印象，準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)任務(wù)三跨站請求偽造漏洞檢測與驗(yàn)證1.跨站請求偽造漏洞的檢測CSRF攻擊是攻擊者借助受害者的cookie騙取服務(wù)器的信任，但是攻擊者并不能拿到cookie，也看不到cookie的內(nèi)容。另外，對于服務(wù)器返回的結(jié)果，由于瀏覽器同源策略的限制，攻擊者也無法進(jìn)行解析。因此，攻擊者無法從返回的結(jié)果中得到任何東西，他所能做的就是給服務(wù)器發(fā)送請求，以執(zhí)行請求中所描述的命令，在服務(wù)器端直接改變數(shù)據(jù)的值，而非竊取服務(wù)器中的數(shù)據(jù)。2.跨站請求偽造漏洞的利用使用BurpSuite截獲信息，并利用CSRF漏洞，先截獲口令修改的http請求包，然后生成CSRFPoc，csrfHTML成功生成后，將其中的html存為一個單獨(dú)的文件，也可以做一定的迷惑、引誘性偽裝，將其上線到一個網(wǎng)頁中發(fā)送給受害者。如果受害者點(diǎn)擊該鏈接，那么他的該站密碼會修改為我們提前設(shè)置好的字符任務(wù)四跨站請求偽造漏洞修復(fù)與防范1.同源檢測禁止外域（或者不受信任的域名）對我們發(fā)起請求。在HTTP協(xié)議中，每一個異步請求都會攜帶兩個Header，用于標(biāo)記來源域名：OriginHeader和RefererHeader。通過Header的驗(yàn)證，我們可以知道發(fā)起請求的來源域名，這些來源域名可能是網(wǎng)站本域，或者子域名，或者有授權(quán)的第三方域名，又或者來自不可信的未知域名。在Web應(yīng)用中檢查請求頭中的Header字段，確保請求來自合法的來源。但是，這種方式并不是完全可靠的，因?yàn)楣粽呖梢酝ㄟ^篡改HTTP請求頭的方式繞過Header檢查。2.SamesiteCookie為了從源頭上解決CSRF攻擊，Google起草了一份草案來改進(jìn)HTTP協(xié)議，那就是為Set-Cookie響應(yīng)頭新增Samesite屬性，它用來標(biāo)明這個Cookie是個“同站Cookie”，同站Cookie只能作為第一方Cookie，不能作為第三方Cookie。3.CSRFToken在應(yīng)用程序中使用CSRFToken可以有效地防止CSRF攻擊。CSRFToken是在服務(wù)器端生成的一段隨機(jī)字符串，該字符串與用戶會話相關(guān)聯(lián)，作為表單隱藏字段或請求參數(shù)的一部分，一起發(fā)送給客戶端瀏覽器。當(dāng)客戶端提交表單或請求時，服務(wù)器端會驗(yàn)證請求中的Token是否與用戶會話中的Token一致，如果一致則認(rèn)為請求是合法的，否則拒絕請求。這樣，即使攻擊者成功偽造了請求，也無法獲取有效的令牌信息，從而無法完成攻擊。4.特定情況下的必要嚴(yán)重在特定情況下加入一些特定的驗(yàn)證來防止CSRF攻擊，當(dāng)用戶在應(yīng)用程序中執(zhí)行敏感操作時，應(yīng)用程序可以要求用戶提供額外的驗(yàn)證信息，例如輸入密碼或者提供其他的身份信息。教師講授、演示。學(xué)生學(xué)習(xí)、模仿，練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活