网络安全导论 实验 第3章 网络安全编程 实验汇报

第三章实验((((((((((((((((((((((((((((((实验3A网络安全编程通过调用

Runtime.getRuntime().exec可以添加,删除注册表某一项的值，要求实验前熟悉注册表修改的有关方法。(((((((((((((((获取本机的IP，端口5050没开放不能返回信息。(((((((((((((((实验3B网络安全编程常用的设计模式03VS前端控制器模式优势：1、可以实现统一管理，统一调度器统一将请求统一拦截和记录。2、具有可测试性。如果使用TDD，那么测试控制器要比很多不同的网站更容易。拦截过滤器模式优势：1.低耦合高内聚：通过过滤管理器统一内聚了过滤链，将所有的过滤器统一聚合在一起，而之间耦合度非常低。2.复用性高:由于有过滤链，所以可以建立很多的不同链而链中的过滤器是一样的，可以提高过滤器复用性。3.预处理：由于用户请求可以在未进入主程序就被拦截到，所有可以提前就预处理了该用户请求的信息。前端控制器模式vs拦截过滤器模式a.如何防止一个用户频繁登录某网站？1、通过数据库状态位判断该用户是否已经登录。2、利用session监听器监听每一个登录用户的登录情况。b.如何防止用户绕过登录界面，直接访问资源？首先把登陆后后的页面和非登陆的界面加以区分把登陆后的界面归入同一个文件夹下（这里指的是网页的URL地址）可以把登陆后的网页以及servlet全部归入http://localhost/test/checked/，然后，用一个filter对checked下的所有访问进行过滤用一个sessionAttribute进行判断是否已经登录（属性名字和有效值可以随意），这个sesstionAttribute应当在登录成功后被设置成有效值，未登录和退出时设置成无效值。01020304问题解决过滤器：过滤器Filter基于Servlet实现，过滤器的主要应用场景是对字符编码、跨域等问题进行过滤。Servlet的工作原理是拦截配置好的客户端请求，然后对Request和Response进行处理。Filter过滤器随着web应用的启动而启动，只初始化一次。Filter的使用比较简单，继承Filter接口，实现对应的init、doFilter以及destroy方法即可。拦截器：拦截器是SpringMVC中实现的一种基于Java反射（动态代理）机制的方法增强工具，拦截器的实现是继承HandlerInterceptor接口，并实现接口的preHandle、postHandle和afterCompletion方法。拦截器&过滤器相同点：1、拦截器与过滤器都是体现了AOP的思想，对方法实现增强，都可以拦截请求方法。2、拦截器和过滤器都可以通过Order注解设定执行顺序。1、过滤器属于Servlet级别，拦截器属于Spring级别Filter是在javax.servlet包中定义的，要依赖于网络容器，因此只能在web项目中使用。Interceptor是SpringMVC中实现的，归根揭底拦截器是一个Spring组件，由Spring容器进行管理。3、过滤器基于函数回调方式实现，拦截器基于Java反射机制实现。3.实际开发中，拦截器的应用场景会比过滤器要更多：拦截器的应用场景：权限控制，日志打印，参数校验过滤器的应用场景：跨域问题解决，编码转换拦截器与过滤器的区别不同点：1.SecurityContextHolder：用于存储安全上下文（securitycontext）的信息，如当前操作的用户是谁，该用户是否已经被认证，拥有哪些角色权限。2.SecurityContext：安全上下文信息接口，用户通过SpringSecurity的校验之后，验证信息存储在SecurityContext中。SecurityContext接口只定义了两个方法，实际上其主要作用就是获取Authentication对象（getAuthentication()方法），如果用户未鉴权，那Authentication对象将会是空的。3.Authentication：Authentication是一个接口，用来表示用户认证信息。该对象主要包含了用户的详细信息（UserDetails）和用户鉴权时所需要的信息，如用户提交的用户名密码、Remember-meToken，或者digesthash值等。按不同鉴权方式使用不同的Authentication实现。在用户登录认证之前相关信息会封装为一个Authentication具体实现类的对象，在登录认证成功之后又会生成一个信息更全面，包含用户权限等信息的Authentication对象，然后把它保存在SecurityContextHolder所持有的SecurityContext中，供后续的程序进行调用，如访问权限的鉴定等。描述SpringSecurity安全框架的核心组件监听器是一个专门用于对其他对象身上发生的事件或状态改变进行监听和相应处理的对象，当被监视的对象发生情况时，立即采取相应的行动。监听器其实就是一个实现特定接口的普通java程序，这个程序专门用于监听另一个java对象的方法调用或属性改变，当被监听对象发生上述事件后，监听器某个方法立即被执行。1.统计在线人数（利用HttpSessionListener）2.加载初始化信息（利用ServletContextListener）3.统计网站访问量4.实现访问监控java中监听器的功能Jpcap实现抓包程序4（Jpcap实现抓包）运行结果代码功能：抓取ip数据包并分析；流程：先绑定网络，后抓取数据包分析并输出1.熟悉TCP/IP数据包的结构。2.掌握Wireshark的使用方法。3.能够利用JNetPcap编程实现数据包的抓取与分析实验目的实验3c、网络数据包的抓取与分析1.安装抓包工具，配置实验环境2.安装Wireshark、配置java环境、下载并导入JNetPcap.jar包。实验准备TCP/IP数据包结构图使用WireShark进行抓包分析，查看抓包信息Wireshark抓包Wireshark抓包结果（）教务网登录抓取结果输入过滤语句http.request.method==POST，只