天津商业大学信息安全实验一

《信息安全技术》实验报告书实验名称：实验一Internet应用风险专业：电子商务班级：1203班姓名：代常发学号：20124934指导老师：丁雷信息工程学院2015年5月

目录一、实验目的 2二、实验内容 2三、实验要求 3四、实验准备 3五、实验原理、方法和手段 3六、实验条件 3七、实验步骤 3任务一、恶意网页 3任务二、WEB服务器安全 9八、总结 18实验一 Internet应用风险一、实验目的掌握IE浏览器的有关Cookie、Java、ActiveX等技术相关安全配置了解IE浏览器的安全漏洞了解Web服务器存在的安全问题掌握设置IIS服务器用户身份验证的方法掌握设置IIS服务器IP和域名限制的方法掌握更改通信端口的方法掌握使用SSL技术保证IIS服务器通信安全的方法了解FTP服务器存在的安全隐患掌握增强FTP服务器安全性的配置方法二、实验内容1.WEB客户端安全性配置Internet上存在的WEB服务五花八门，真假难辨，鱼龙混杂。用户常在访问了某些恶意网页后，造成WEB客户端被劫持的现象。一般情况下可以通过提高WEB客户端的安全性来防止恶意网页的干扰。2.WEB服务器的安全性配置Internet上存在大量的WEB服务器，但是有为数不少的WEB服务器本身存在很多的安全隐患，而这些隐患大多又是由于WEB服务器的配置不当造成的，往往给WEB服务器造成一定的危害。为了提高WEB服务器的安全性，可以对WEB服务器进行一些安全性配置或者利用其它的工具来实现（如SSL等）。三、实验要求采用以学生自主训练为主的开放模式组织教学四、实验准备浏览器安全简介，网页病毒五、实验原理、方法和手段所有主机使用【快照】将虚拟机恢复到初始状态。本实验2人1组，以主机A、主机B为例。任务一中主机A、主机B既是Web服务器端，又是Web客户端，每个实验主机的操作都是对等的。任务二中主机A为Web服务器，主机B为Web客户端。六、实验条件电子商务技术实验教学平台七、实验步骤任务一、恶意网页1.主机A、B分别启动IE浏览器，并相互访问对方的trouble.html页面，具体为：在地址栏中输入http://同组对方的IP地址/trouble.html。2.访问成功后，会10次打开访问页面的窗口。3.主机A、B关闭所有IE窗口。4.主机A、B再次打开IE浏览器，浏览器会自动访问网页，如下图所示，这说明IE的默认网页被更改。图1IE浏览器默认主页被篡改5.在打开的IE中，选择其“工具”菜单中的“Internet选项”，在弹出的“Internet选项”对话框中，可知IE主页被设置为“”，并且将IE主页相关设置置灰，从而不能再更改主页，如下图所示：图2IE浏览器默认主页配置项被禁用6.由如上现象可以发现，用户的IE浏览器被劫持，具体表现为：默认首页被修改、默认首页禁止修改、恶意窗口弹出和自动网站访问等。由此可以推断出，用户可能不经意间访问了某恶意网页。7.恢复浏览器默认配置，清除恶意网页影响。(1)恢复IE默认首页的可修改性。单击“开始->运行”菜单项，弹出“运行”对话框，在“运行”对话框中输入“regedit”，打开注册表编辑器，将本地注册表的键HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel\HomePage的值由1置为0，从而可对IE主页进行更改。(2)恢复IE默认首页为空白页单击“Internet属性”对话框的“使用空白页”按钮，恢复IE默认主页为空白页。8.IE浏览器增强安全性配置，防范恶意网页感染。方法1：点击“工具->Internet选项”，在弹出的对话框中选择“安全”标签，再点击“默认级别”按钮，移动滑块设置该区域的安全级别为：高；方法2：点击“工具->Internet选项”，在弹出的对话框中选择“安全”标签，再点击“自定义级别”按钮，就会弹出“安全设置”对话框，把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。经过上面的设置，将ActiveX插件和控件、Java脚本等全部禁止，这样就可以大大减少被网页恶意代码感染的几率。9.IE浏览器防范恶意网页安全性验证。主机A、主机B互相访问trouble.html页面，经验证，用户IE浏览器未遭劫持，可见IE浏览器防范恶意网页的安全性配置已生效。任务二、WEB服务器安全1.网站的身份验证配置(1)Web用户匿名访问Web站点，测试Web网站是否可以匿名正常访问。主机B打开IE浏览器，访问主机A的主页“http://同组主机A的IP地址”，若此时可访问主机A的主页，则说明主机A的Web网站允许匿名访问（访问成功后主机B将会看到“恭喜您，访问Web服务器成功！”的页面，HTTP协议的默认TCP端口为80）。(2)在主机A上，依次点击“开始->所有程序->管理工具->Internet信息服务(IIS)管理器”。将目录展开进入到如下图所示的状态：图3指定配置网站(3)主机A右键点击“默认网站”，选择“属性”。如下图所示：图4配置网站属性(4)在“默认网站属性”对话框中，选择“目录安全性”页签，并单击“身份验证和访问控制”中的【编辑】按钮。如下图所示：图5配置网站目录安全性(5)对登录用户进行身份验证的配置。在“身份验证方法”对话框中，将对“启用匿名访问”项的选择取消，并选中“用户访问需经过身份验证”中的“集成Windows身份验证”项，如下图所示。此时其它用户若访问主机A的网站，就必须拥有相应的帐户和口令。图6取消网站匿名登录并指定Windows身份验证(6)依次单击上面对话框的【确定】按钮，完成配置。(7)Web用户访问Web站点，测试Web网站的配置是否满足要求。主机B重新打开IE浏览器，访问主机A的主页“http://同组主机A的IP地址”，此时会提示需输入用户名和密码。输入用户名“student”和密码“123456”，即可访问主机A主页，访问需要一些时间才能打开网站。如果达不到实验效果，建议关闭IE浏览器，再重新打开验证效果。2.IP地址限制的配置(1)主机A参照步骤1-(3)的方法打开“默认网站属性”对话框，选择“目录安全性”页签，单击“IP地址和域名限制”中的【编辑】按钮，如下图所示：图7配置网站IP地址与域名限制安全性(2)在弹出的“IP地址和域名限制”对话框中，选中“拒绝访问”单选框，点击“添加”按钮，添加授权的主机。如下图所示：图8配置网站的IP地址访问限制(3)在弹出的“授权访问”对话框中，选中“一台计算机”单选框，在“IP地址”中输入所授权访问主机的IP地址，这里输入的是主机B的IP地址（例2），如下图所示。上述步骤的设置表示：仅授权主机B可以访问Web服务器，其它主机拒绝访问。设置完IP地址后，单击“确定”按钮。图9授权特定主机访问WEB服务器(4)依次单击上面对话框的【确定】按钮，完成配置。(5)Web用户访问Web站点，测试Web网站的配置是否满足要求。主机B访问主机A的主页“http://同组主机A的IP地址”，此时主机B是可以访问的；将主机B的IP进行修改（注意：不要和其他主机发生IP地址冲突），这时主机B再访问主机A的主页，会收到“您未被授权查看该页”的提示，这说明配置成功；测试完，将主机B的IP修改到原始的值。3.端口安全性的实现(1)主机A参照步骤1-(3)的方法打开“默认网站属性”对话框，选择“网站”页签，修改“TCP端口”的值为“888”，如下图所示：图10修改WEB服务默认TCP端口(2)单击上面对话框的【确定】按钮，完成配置。(3)Web用户访问Web站点，测试Web网站的配置是否满足要求。主机B访问主机A的主页“http://同组主机A的IP地址”，此时会收到“无法显示网页”的提示，表明端口的配置成功，已不是默认的80了；主机B再次访问主机A的主页“http://同组主机A的IP地址:888”，此时主机B是可以访问的。总结1.简述Web服务器存在的常见安全问题。答：Web服务器存在的常见安全问题有以下：来自服务器本身及网络环境的安全，这包括服务器系统漏洞，系统权限，网络环境（如ARP等）、网络端口管理等，这个是基础。来自WEB服务器应用的安全，IIS或者Apache等，本身的配置、权限等，这个直接影响访问网站的效率和结果。网站程序的安全，这可能程序漏洞，程序的权限审核，以及执行的效率，这个是WEB安全中占比例非常高的一部分。WEBServer周边应用的安全，一台WEB服务器通常不是独立存在的，可能其它的应用服务器会影响到WEB服务器的安全，如数据库服务、FTP服务等。2.任务中用到了哪些IIS的安全机制？答：1）网站的身份验证配置；2）IP地址限制的配置；3）端口安全性的实现。列举几种常用的网页浏览器，并对它们的安全相关功能进行总结。答：360安全浏览器：保存网页密码功能会把相关帐号、密码记录在本机上。同时在选项中，能显示出保存的帐号及密码，故请不要在公共电脑或他人的电脑上保存重要密码。无痕浏览，彻底保护隐私任何历史记录、临时文件都不会被保留。适合网吧、共用电脑等特殊场合。智能拦截恶意和钓鱼网站动态识别恶意代码，实时拦截提示。超强安全模式和沙箱技术让您放心浏览木马网站不中招。IE浏览器：可以拦截恶意网站。百度浏览器：百度浏览器地址栏左边会出现绿色的百度认证标识，点击此处将显示该网站在工信部的备案信息，此功能效防止钓鱼网站欺诈。实验中所呈现的网页病毒是十分简单的，针对它的安全性配置也是容易的，请收集相关资料，列举出利用浏览器漏洞进行网页病毒攻击的例子以及解决的方法，并将