Web安全与防护 （微课版）05-3 项目五 安全的个人信息修改-任务三四教案

XX学院课程教案开课学院XX学院课程名称WEB安全与防护授课学期XX学年第X学期授课教师XXX授课班级XXX总课时64

项目五任务三《跨站请求伪造漏洞检测与利用》任务四《跨站请求伪造漏洞修复与防范》教学设计方案一、教学分析课题名称跨站请求伪造漏洞检测与利用、跨站请求伪造漏洞修复与防范授课方式线下讲课授课学时2授课地点授课时间202X年XX月XX日教学内容1、任务描述：检测和利用跨站请求伪造漏洞、对跨站请求伪造漏洞进行修复和防范。2、知识准备：HTML、JavaScript、CSS前端知识及HTTP协议知识。3、任务实施：检测和利用博客系统中的跨站请求伪造漏洞、针对博客系统相关功能存在的跨站请求伪造漏洞进行修复和防范。学情分析学习者前期学习了跨站请求伪造漏洞原理和特点的知识，具备了针对跨站请求伪造漏洞的利用检测及修复防范的知识储备，但缺乏融会贯通和综合运用能力，未接触过职业工作和专业技能竞赛。教学目标知识目标1、熟悉跨站请求伪造漏洞的检测方法。2、熟悉跨站请求伪造漏洞的利用方法。3、熟悉跨站请求伪造漏洞的修复防范方法能力目标1、能够检测出跨站请求伪造漏洞。2、能够利用跨站请求伪造漏洞。3、能够实现对跨站请求伪造漏洞的修复和防范素质目标1、养成个人敏感信息保护习惯。2、提高网络安全防范意识。教学重点跨站请求伪造漏洞的检测、跨站请求伪造漏洞的四种修复防范方法教学难点跨站请求伪造漏洞的利用二、教学策略教学资源在线开放课程平台，超星课程平台，多媒体课件，理实一体化实训室，网络教学资源。实物：教材，软件工具包。教学方法与手段1、教学方法：案例法、讲授法、自学法2、教学模式：采用线上线下混合教学模式教学重点解决措施重点：跨站请求伪造漏洞的检测、跨站请求伪造漏洞的四种修复防范方法措施：老师讲解加演示教学难点解决措施难点：跨站请求伪造漏洞的利用措施：老师讲解加演示三、教学实施第3次课（2课时）课前准备教学内容教师活动学生活动设计意图备注提交手机，组织学生座位靠前，强调学习纪律，点名前次课程内容回顾。教师组织教学学生看书，预习学生课前线上学习相关知识，引导学习方式转变，培养自主学习能力。课中探究教学内容教师活动学生活动设计意图任务三跨站请求伪造漏洞检测与验证引导学生通过教材、网络及学习资料逐一预习相关的项目理论知识。本项目工作任务：1.跨站请求伪造漏洞的检测2.跨站请求伪造漏洞的利用任务四跨站请求伪造漏洞修复与防范引导学生通过教材、网络及学习资料逐一预习相关的项目理论知识。本项目工作任务：1.同源检测2.SamesiteCookie3.CSRFToken4.特定情况下的必要严重教师讲授、演示。学生跟随老师讲课，加深印象，准备自己操作多媒体教学、启发式教学任务三跨站请求伪造漏洞检测与验证1.跨站请求伪造漏洞的检测CSRF攻击是攻击者借助受害者的cookie骗取服务器的信任，但是攻击者并不能拿到cookie，也看不到cookie的内容。另外，对于服务器返回的结果，由于浏览器同源策略的限制，攻击者也无法进行解析。因此，攻击者无法从返回的结果中得到任何东西，他所能做的就是给服务器发送请求，以执行请求中所描述的命令，在服务器端直接改变数据的值，而非窃取服务器中的数据。2.跨站请求伪造漏洞的利用使用BurpSuite截获信息，并利用CSRF漏洞，先截获口令修改的http请求包，然后生成CSRFPoc，csrfHTML成功生成后，将其中的html存为一个单独的文件，也可以做一定的迷惑、引诱性伪装，将其上线到一个网页中发送给受害者。如果受害者点击该链接，那么他的该站密码会修改为我们提前设置好的字符任务四跨站请求伪造漏洞修复与防范1.同源检测禁止外域（或者不受信任的域名）对我们发起请求。在HTTP协议中，每一个异步请求都会携带两个Header，用于标记来源域名：OriginHeader和RefererHeader。通过Header的验证，我们可以知道发起请求的来源域名，这些来源域名可能是网站本域，或者子域名，或者有授权的第三方域名，又或者来自不可信的未知域名。在Web应用中检查请求头中的Header字段，确保请求来自合法的来源。但是，这种方式并不是完全可靠的，因为攻击者可以通过篡改HTTP请求头的方式绕过Header检查。2.SamesiteCookie为了从源头上解决CSRF攻击，Google起草了一份草案来改进HTTP协议，那就是为Set-Cookie响应头新增Samesite属性，它用来标明这个Cookie是个“同站Cookie”，同站Cookie只能作为第一方Cookie，不能作为第三方Cookie。3.CSRFToken在应用程序中使用CSRFToken可以有效地防止CSRF攻击。CSRFToken是在服务器端生成的一段随机字符串，该字符串与用户会话相关联，作为表单隐藏字段或请求参数的一部分，一起发送给客户端浏览器。当客户端提交表单或请求时，服务器端会验证请求中的Token是否与用户会话中的Token一致，如果一致则认为请求是合法的，否则拒绝请求。这样，即使攻击者成功伪造了请求，也无法获取有效的令牌信息，从而无法完成攻击。4.特定情况下的必要严重在特定情况下加入一些特定的验证来防止CSRF攻击，当用户在应用程序中执行敏感操作时，应用程序可以要求用户提供额外的验证信息，例如输入密码或者提供其他的身份信息。教师讲授、演示。学生学习、模仿，练习。操作演示、启发式教学课后拓展教学内容教师活