信计131迟慧《网络信息安全》专业技能实训

东 北 石 油 大 学网 络 信 息 安 全专业技能实训2016 年 7 月 16 日课 程 网络信息安全专业技能实训 题 目 WEB 应用程序安全 学 院 数学与统计学院 专业班级 信息与计算科学 13-1 学生姓名 迟慧 学生学号 131001140105 指导教师 刘今子 东北石油大学专业技能实训任务书课程 网络信息安全专业技能实训课程设计题目 WEB 应用程序安全专业 信息与计算科学 姓名 迟慧 学号 131001140105 主要内容、基本要求、主要参考资料等主要内容本文以 Webgoat 的使用和 Web 服务安全配置实验为例，着重介绍掌握基于应用层的弱点测试手段与方法，以及通过设置 windows2003 和 IIS，使得 WEB 网站更加安全，并了解 WEB 应用程序安全。专业技能实训的要求：1.独立完成，并提交一篇实训报告。2.论文的主要内容包括：所研究的 6-8 个实验题目所属分类的研究现状，常用技术，实验案例等等；要求有综合性，技术性。必要的计算机程序。3.文档格式：参照东北石油大学课程设计撰写规范和专业技能实训实践大纲。4.实训以答辩方式进行考核。主要参考资料： 1 王其良等 .计算机网络安全技术M.北京大学出版社.2007(7).2 吴灏等. 网络攻防技术M.机械工业出版社.2009(8).3 思科系统网络技术有限公司.下一代网络安全M.北京邮电大学出版社.2007(6).4 石志国等 .计算机网络安全教程M.清华大学出版社.2007(1).5 崔宝江等 .信息安全实验指导M.国防工业出版社.2005(5).完成期限 2016 年 7 月 7 日7 月 16 日 指导教师 刘今子 专业负责人 仲光苹 2016 年 7 月 7 日东北石油大学本科专业技能实训论文I摘 要在飞速发展的信息时代，网络已经成为主要的信息共享、交流的手段。近几年来，随着 Internet 的快速发展，基于 Internet 的 MIS 系统越来越多地被应用起来。电子商务、在线考试、学生网上成绩查询、网上选课等，这些系统或 Web 应用程序的运行，把静态的网页和动态的网页相结合，极大地丰富了 Internet 的内容。本文有四个实例。第一个是 Webgoat 的使用，它是使用 Webgoat 进行字符串型SQL 注入和对认证安全漏洞进行攻击。第二个是 Web 服务安全配置实验，它是通过设置 windows2003 和 IIS，使得 Web 网站更加安全。第三个是主机存活性判断，它的内容是在 Windows 环境下利用 SuperScan 发现网段内的存活主机，通过本文可以了解主机连通性探测的工作原理，能够使用工具判断主机存活性，以及发现目标网段内的存活主机。第四个是 NET 命令入侵实例，介绍了 NET 命令的使用方法和它的参数搭配，通过本文可以了解 NET 入侵的过程，掌握 NET 命令的使用方法和它的参数搭配。目前，网络的安全工作大多集中在网络本身，Web 应用程序的安全被忽略了。许多黑客可以突破 SSL 加密和各种防火墙，攻入 Web 网站的内部，窃取信息。然而基于Web 技术的应用又具有很大的优势和应用前景，因此探讨和研究 Web 应用程序的安全问题具有很重要的意义。关键字：Web 应用程序； Webgoat 的使用；Web 服务安全配置东北石油大学本科专业技能实训论文II目录第 1 章 基础知识 .- 1 -第 2 章 基本操作方法 .- 2 -第 3 章 实训项目 .- 3 -3.1 实训项目 1WEBGOAT 的使用 .- 3 -3.2 实训项目 2WEB 服务安全配置实验 .- 4 -3.3 实训项目 3主机存活性判断 .- 8 -3.4 实训项目 4NET 命令入侵实例 .- 10 -3.5 本章小结 .- 12 -结论 .- 13 -参考文献 .- 14 -东北石油大学本科专业技能实训论文- 1 -第 1 章 基础知识1、实训目的：主要为配合网络安全的相关理论知识，以此为基础进行一系列的实际安全配置实验训练。在实训学习和实践过程中，学生以解决实际问题为主线，进行相关实际的网络安全配置和制定系统防范措施。学生通过对网络与信息安全技术的学习，已经初步掌握了网络安全技术中所涉及到的基础安全技术知识。网络与信息安全实训，是为了加强网络与信息安全技术的基础，使学生对网络安全技术有更全面的理解，进一步提高学生运用网络安全技术解决实际问题的能力。实训课程设计主要目的：(1) 掌握基于应用层的弱点测试手段与方法。(2) 通过设置 windows2003 和 IIS，使得 WEB 网站更加安全。(3) 了解主机连通性探测的工作原理，能够使用工具判断主机存活性，以及发现目标网段内的存活主机。(4)了解 NET 入侵的过程；掌握 NET 命令的使用方法和它的参数搭配。实训的任务主要是使得学生掌握网络与信息安全技术领域的基本理论和方法，具有较强的自律意识和信息安全意识，具有使用网络安全方面的软硬件产品解决实际问题的能力，能够完成一系列的实际安全配置实验内容，并且能够熟练使用相关安全工具和软件。2、实训内容：使用 WebGoat 进行字符串型 SQL 注入和对认证安全漏洞进行攻击。通过设置 windows2003 和 IIS，使得 WEB 网站更加安全。介绍主机生存性探测的原理；Windows 环境下利用 SuperScan 发现网段内的存活主机。NET 命令的使用方法和它的参数搭配。3、实训所用设施：PC 机、交换机、 windows server 2003、Windows XP 操作系统、windows XP professional、WebGoat 工具、java 环境、及其他软件等。4、实训任务及要求：根据提供的实训题目，引导学生采用正确的实验、实训方法，启发学生扩大解决问题的思路，从而得到正确的结果，并且分析出现的各种现象，提高实验、实训效果。东北石油大学本科专业技能实训论文- 2 -实训过程中，注意记录实训步骤。做完实验、实训，写出实训报告或论文。第 2 章 基本操作方法1、按照文档规范要求进行操作，养成查阅手册、文档的良好习惯；2、根据实训步骤要求进行操作，注意积累正确操作方法；3、操作过程中注意记录错误提示，并利用各种资源进行更正，积累错误诊断经验，增强独立解决问题的能力；4、对特殊疑难问题采用讨论、协作等方式进行解决，有意识地训练团队合作意识；5、实训报告或论文应多包含在实训过程中出现的错误及解决方法。东北石油大学本科专业技能实训论文- 3 -第 3 章 实训项目3.1 实训项目 1Webgoat 的使用（1）首先我们进行字符串型SQL注入实验。在左侧列表中找到String SQL Injection一项，点击进入。图 3-1 进入界面(2)进入后在用户提交信息的窗口中可以看到提示的 SQL 语言：SELECT * FROM user_data WHERE last_name = Your Name，该测试项为 String SQL Injection，对于 SQL 语句中的“”元字符，它作为查询参数的左闭合符号，可以在 Your Name中输入“”使其闭合。故我们输入 or 1=1 这样，原来 SQL 语句中的就作为了1 的右闭合符号。然后点击“Go!”。然后看到我们此次输入所产生的 SQL 查询命令。这样就得到了所有的用户列表。该攻击完成，左侧打上了绿色的对勾。图 3-2 用户列表东北石油大学本科专业技能实训论文- 4 -(3)下面我们进行Forgot Password项的攻击。在左侧列表中找到Forgot Password一项，点击进入。通常情况下程序员都会采用有意义的名称作为表明和字段名。一般管理员表为admin,新闻表news,留言簿guestbook或guest,文章系统表article。因此利用一些经验和可能的猜测回答来破解系统，获取用户密码。此处我们尝试admin，然后点“Submit”。图 3-3 获取用户密码(4)弹出以下页面，说明用户名存在，现在要求回答认证问题，有要求可以得知Webgoat用户的答案为red，故猜测问答的答案可能仅仅为简单的颜色。尝试yellow，发现并没有通过。再尝试green，发现通过，得到了admin账户的密码。图 3-4 得到 admin 账户密码3.2 实训项目 2Web 服务安全配置实验3.2.1 设置win2003的安全性(1)给Guest账户设置超复杂密码然后禁用。东北石油大学本科专业技能实训论文- 5 -右击我的电脑，单击属性，单击管理。计算机管理-系统工具-本地用户和组中的用户里面右击 Guest 账号设置密码。为了保险起见，最好给 Guest 加一个复杂的密码。你可以打开记事本，在里面输入一串包含特殊字符、数字、字母的长字符串，然后把它作为 Guest 用户的密码拷进去。如图所示：图 3-5 Guest 账号设置密码出现设置密码提示，点击继续。给 Guest 设置一个超复杂的密码，然后点击确定，提示密码设置成功，点击确定。图 3-6 设置一个超复杂的密码(2)禁用 Guest 账户。右击 Guest 账户，点击属性。勾选用户不能更改密码、密码永不过期、账户已禁用。图 3-7 禁用 Guest 账户东北石油大学本科专业技能实训论文- 6 -此时可以看到 Guest 账户已经被禁用。图 3-8 Guest 账户已经被禁用3.2.2 IIS 站点设置点击“开始”“管理工具”“Internet 信息服务管理”图 3-9 Internet 信息服务管理(1) 将 IIS 目录数据与系统磁盘 C 盘分开，保存在专用磁盘空间内。图 3-10 IIS 目录数据与系统磁盘 C 盘分开东北石油大学本科专业技能实训论文- 7 -(2) 在 IIS 管理器中删除必须之外的任何没有用到的映射（保留 asp, aspx html htm 等必要映射即可）右键单击网站默认网站右键属性文档，图 3-11 删除没有用到的映射(3) 在 IIS 中将 HTTP404 Object Not Found 出错页面通过 URL 重定向到一个定制 HTM文件。右键单击网站默认网站右键属性自定义错误，查看 404 错误页面的位置。图 3-12 查看 404 错误页面(4)Web 站点权限设定图 3-13 Web 站点权限设定东北石油大学本科专业技能实训论文- 8 -(5) 卸载最不安全的组件，最简单的办法是直接卸载后删除相应的程序文件。(6) 使用应用程序池来隔离应用程序双击“Internet 信息服务 (IIS) 管理器”。 右键单击您想要分配到应用程序池的网站或应用程序，此处以默认网站为例，然后单击“属性”。 根据您选择的应用程序类型，单击“主目录”。单击下面应用程序池，单击您想要分配网站或应用程序的应用程序池的名称，然后单击“确定”。图 3-14 使用应用程序池来隔离应用程序3.3 实训项目 3主机存活性判断使用 SuperScan 扫描网段内的存活主机(1)打开 SuperScan 软件，在 “d:tools目录下找到superscan 压缩包文件，这是一款绿色软件，直接解压就可以使用，没有安装文件。图 3-15 找到 superscan 压缩包文件(2)填写想要扫描的目标地址，可以是单个主机，也可以是某个网络范围。东北石油大学本科专业技能实训论文- 9 -图 3-16 填写想要扫描的目标地址(3)在“主机和服务扫描设置”选项中可以选择探测主机存活性时使用的扫描方式，支持多种扫描方式并发。选择想要使用的扫描方式，对目标主机进行探测。图 3-17 选择想要使用的扫描方式(4)扫描结束之后，点击结束按钮，然后再点击“查看html结果”可以生成实验报告。图 3-18 查看 html 结果东北石油大学本科专业技能实训论文- 10 -3.4 实训项目 4NET 命令入侵实例(1)登陆windows xp主机：“net use 81ipc$ 1/user:1 ”如图：图 3-19 登陆 windows xp 主机(2)创建一个用户，由于SA的权限相当于系统的超级用户，如：加一个sysusers的用户密码为111111 。输入命令：“net user sysusers 111111 /add”，如下图：图 3-20 创建一个用户(3)显示命令成功后，就可以把他加入Administrators组了，输入命令：“net localgroup Administrators sysusers /add”，如下图：图 3-21 输入命令(4)打开对方的TELNET服务命令为：“net start telnet”如下图：图 3-22 打开对方的 TELNET 服务命令(5)将 telnet 服务设置为“自动”，命令为“sc config tlntsvr start= auto”，需要注意的是，telnet 服务在这里一定要用“tlntsvr”，用“sc config telnet start= auto”是无法启动的，另外“=”号后边和“auto”之前要有一个空格，如下图：东北石油大学本科专业技能实训论文- 11 -图 3-23 telnet 服务设置为“自动”(6)启动“telnet”服务，命令为“net start telnet”或者用“net start tlntsvr”进行启动，如下图：图 3-24 启动“telnet”服务(7)激活 Guest 用户（guest 是 windows 的默认用户），输入命令：“net user guest /active：yes”。图 3-25 激活 Guest 用户(8)把一个用户的密码改掉，把 guest 的密码改为 111111，其他用户也可以的。只要有权限就可以。执行“net user guest 111111”命令，如下图：图 3-26 把一个用户的密码改掉(9)退出远程连接命令：“net use * /delete”，如下图：东北石油大学本科专业技能实训论文- 12 -图 3-27 退出远程连接命令(10)用 net 命令的帮助时，所有 net 命令接受选项/ yes 和/no（可缩写为/y 和/n）。/y 对命令产生的任何交互提示自动回答“是”，/n 回答“否”。例如，net stop server 通常提示确认是否根据服务器服务结束所有服务，net stop server /y 自动回答“是”并关闭服务器服务。如下图：图 3-28 net 命令的帮助(11)提供网络命令列表及帮助主题，或提供指定命令或主题的帮助。如想得到net命令的用法可以用“net /?”查询，如果想知道net命令中“use”的用法，可以直接输入“net use ?”或者“net use help”来进行进一步查询，或者用“net help use”来获得更详细的内容。东北石油大学本科专业技能实训论文- 13 -图 3-29 提供网络命令列表及帮助主题3.5 本章小结目前，网络的安全工作大多集中在网络本身，Web 应用程序的安全被忽略了。许多黑客可以突破 SSL 加密和各种防火墙，攻入 Web 网站的内部，窃取信息。然而，基于 Web 技术的应用又具有很大的优势和应用前景，因此，探讨和研究 Web 应用程序的安全问题具有很重要的意义。本章就通过 Webgoat 的使用和 Web 服务安全配置实验简单的介绍了 Web 应用程序安全。东北石油大学本科专业技能实训论文- 14 -结 论目前，网络的安全工作大多集中在网络本身，Web 应用程序的安全被忽略了。许多黑客可以突破 SSL 加密和各种防火墙，攻入 Web 网站的内部，窃取信息。然而基于Web 技术的应用又具有很大的优势和应用前景，因此探讨和研究 Web 应用程序的安全问题具有很重要的意义。本文主要分四个部分。分别介绍了 Webgoat 的使用、Web 服务安全配置、主机存活性判断和 NET 命令入侵实例。第一部分，主要介绍了 Webgoat 的使用，SQL 注入是一种利用用户输入构造 SQL 语句的攻击。如果 Web 应用没有适当的验证用户输入的信息，攻击者就有可能改变后台执行的 SQL 语句的结构。 Web 应用程序经常提供一种让他们的用户能够找回忘记的密码的机制，但通常许多 Web 应用程序无法正确执行这种机制，用来验证用户身份的信息往往是过于简单的。这就在某种程度上提供了一种可攻击的漏洞。第二部分，介绍了 Web 服务安全配置实验，首先创建一个安全可靠的Web 服务器，必须要实现操作系统和 IIS 的双重安全，因为 IIS 的用户同时也是Windows 2003 用户，并且 IIS 目录的权限依赖 Windows 的 NTFS 文件系统的权限控制，所以保护 IIS 安全的第一步就是确保 Windows 2003 操作系统的安全。实际上，Web 服务器安全的根本就是保障操作系统的安全。本文的后两部分简单介绍了主机存活性判断和 NET 命令入侵实例。通过对网络信息安全的学习以及这次的专业技能实训，可以掌握网络信息安全技术领域的基本理论和方法并对 Web 应用程序安全有了更加深刻地理解。同时具有使用网络安全方面的软硬件产品解决实际问题的能力，能够完成一系列的实际安全配置实验内容，并且能够熟练使用相关安全工具和软件。东北石油大学本科专业技能实训论文- 15 -参考文献1 王其良等 .计算机网络安全技术M.北京大学出版社.2007(7).2 吴灏等. 网络攻防技术M.机械工业出版社.2009(8).3 思科系统网络技术有限公司.下一代网络安全M.北京邮电大学出版社.2007(6).4 石志国等 .计算机网络安全教程M.清华大学出版社.2007(1).5 崔宝江等 .信息安全实验指导