信息安全 实验四、web安全

最新推荐文章于 2024-05-28 11:15:00 发布
最新推荐文章于 2024-05-28 11:15:00 发布
阅读量953 收藏 5
点赞数
分类专栏: 信息安全 文章标签: 安全 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43845915/article/details/117379115
版权

实验四、web安全

文章目录

一、实验目的及要求

1.熟悉浏览器安全的方法;

2.了解网页编程中SQL注入手段和防范措施;

3.强化动态网页设计安全意识。

二、实验学时

2学时

三、实验任务

掌握浏览器与动态网页设计的安全技术手段

四、实验重点、难点

动态网页设计的安全技术

五、实验过程:

1、web浏览器比如IE浏览器的安全技术手段有哪些?请尽可能列出来。

答:

1.白名单

2.禁用或限制使用Java程序及ActiveX控件

3.防止泄露自己的信息

4.清除已浏览过的网址

5.清除已访问过的网页

6.永远不怕IE主页地址被修改

7.挖出IE本地安全配置选项

8.在DOS下打开"Internet属性"窗口

9.解除IE的分级审查口令

10.预防网页恶意代码

11.管理好Cookie

2、动态网页设计请采用C#.net实现一个登录案例,本案例中防范SQL注入有哪些措施?写出详细的设计与实现过程。

答:

详细见我另一篇博客

C#.net实现一个登录案例

下为缩减版

Mysql数据库设计:

img

插入数据:

img

项目设计:

img

Login.aspx

img

Login.aspx.cs

对登录按钮写脚本:

img

页面测试:

登录成功:

img

img

sql 注入攻击

img

img

img

3、上述登录案例中加验证码有什么好处?哪一种验证码相对安全?

答:

可以防止恶意破解密码、刷票、论坛灌水,有效防止某个黑客对某一个特定注册用户用特定程序暴力破解方式进行不断的登陆尝试,实际上用验证码是现在很多网站通行的方式,利用比较简易的方式实现了这个功能。

常用验证码:

图形验证码

短信验证码

语音验证码

滑动验证码

相对安全:点触式和滑动式的验证码,通过采集用户当前各种的参数行为(行为轨距,操作时间,当前环境等等)来判断是否为机器行为。在用户体验上,手机端不是很建议使用选字类型的验证码,对于非大屏的手机不是很友好。在安全性上,这类验证码要比其他验证码破解成本高

4、在web安全有哪些安全措施?请尽可能列出来。

答:

HTTP Basic验证

这种验证成为HTTP基本验证,它是由HTTP1.1规范定义的,这是一种保护资源的最简单和最常用的验证机制。当浏览器请求任何受保护资源时,服务器都要求一个用户名和口令。如果用户输入了一个合法的用户名和口令,服务器才发送资源。

HTTP基本验证的优点是:实现较容易,所有的浏览器都支持。缺点是:因为用户名和口令没有被加密,而是采用Base64编码,所以是不安全的;不能自定义对话框的外观

HTTP Digest验证

这种验证称为HTTP摘要验证,它除了口令是以加密的方式发送,其他与基本验证都一样,但比基本验证全。

HTTP摘要验证的优点有:比基本验证安全;缺点:只能被IE5以上版本支持;许多Servlet容器不支持,因为规范并没有强制要求。

FORM-based验证

这种验证称为基本表单的验证,它类似于基本验证,但它使用用户自定义的表单来获得用户名和口令而不是使用浏览器的弹出对话框。开发人员必须创建表单的HTTP页面,对表单外观可以定制。

基本验证表单的优点是:所有的浏览器都支持,而容易实现。客观可以定制登录页面的外观。缺点是:它不是安全的,用户名/口令没有加密。

HTTPS Client验证

这种验证称为客户证书验证。它采用HTTPS传输信息。HTTPS是在安全套接层(Secure Socket Layer,SSL)之上的HTTP,SSL可以保证Internet上敏感数据传输的保密性。在这样机制中,当浏览器和服务器之间建立起SSL连接后,所有数据都以加密的形式传输。

优点:它是4中验证类型中最安全的,所有常用浏览器都支持;缺点:它需要一个证书授权机构(如VeriSign)的证书;它的实现和维护的成本较高。

什么是Sql注入?

就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令

防护Sql注入:

1、永远不要信任用户的输入,要对用户的输入进行校验,可以通过正则表达式,或限制长度,对单引号和双"-"进行转换等;

2、永远不要使用动态拼装SQL,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取;

3、永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接;

4、不要把机密信息明文存放,请加密或者hash掉密码和敏感的信息。

CSRF攻击是什么 ?

英文全称是Cross-Site-Request-Forgery 即 跨站请求伪造,顾名思义 CSRF攻击就是黑客引诱用户打开黑客的网站,利用用户的登录状态发起跨站请求。

防护CSRF攻击:

1、针对实际情况,设置 Cookie 的 SameSite 属性为 Strict 或 Lax

2、服务端验证请求来源(Referer,Origin)

3、使用CSRF Token ,服务端随机生成返回给浏览器的Token

4、加入二次验证(独立的支付密码)

六、实验小结(100字左右)

本次实验学习了用c#开发登录界面,在开发过程中虽然有些许的困难,但最后不断学习,提升了。受益匪浅,也学习到sql攻击,今后数据库设计和后台代码编程将会更加注意信息安全这方面。本次实验学会了很多,期待下一次的实验。

听听天天的故事
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Web安全第三次实验(CSRF,XSS,点击劫持).rar
12-26
文件中包含myzoo,csrf.html,xss.txt,hijack.html.其中myzoo是测试网站,csrf需要在测试网站中的profile中设置超链接,xss攻击则直接可以将xss.txt内容复制到profile中,点击劫持也是需要设置超链接。
信息安全原理与技术第五次实验:基于Web的SSL应用
sjx3161的博客
06-02 1936
为了帮助同学们完成痛苦的实验课程设计,本作者将其作出的实验结果及代码贴至CSDN中,供同学们学习参考。如有不足或描述不完善之处,敬请各位指出,欢迎各位的斧正!由于 Web 上有时要传输重要或敏感的数据,因此 Netscape 公司在推出 Web 浏览器首版的同时,提出了安全通信协议 SSL(Secure Socket Layer),目前已有 2.0 和 3.0 版本。SSL 采用公开密钥技术。其目标是保证两个应用间通信的保密性和可靠性,可在服务器和客户机两端同时实现支持。目前,利用公开密钥技术的 SSL 协
【burpsuite安全练兵场-客户端16】测试WebSockets安全漏洞-3个实验(全)
最新发布
m0_61869253的博客
05-28 1263
blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。!blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-
网络安全实验——web安全
weixin_58628068的博客
05-18 3225
XSS(Cross-Site Scripting)是一种常见的Web应用程序漏洞,攻击者可以通过注入恶意脚本来获取用户的敏感信息或者控制用户的账户。攻击者可以通过在输入框、URL参数等地方注入恶意脚本来实现XSS攻击。为了防止XSS攻击,应该对用户提交的数据进行过滤和转义,避免将用户输入的内容作为HTML或JavaScript代码直接输出到页面上。在盗取rookie(一个虚拟人物)的实验中,攻击者通过在评论中注入恶意脚本,来实现对rookie账户的控制。
实践作业4 Web测试(软件评测)
weixin_30325487的博客
12-31 105
  经过我们小组的讨论之后,我们选择的待检测产品为产品三:学校相关网站。 我们测的是华中科技大学软件学院官方网站和华中科技大学计算机学院官方网站。 我们比较的有:   一、功能缺陷一:网页显示信息不全   英文网页版面是一片空白并且文字描述和图片介绍,作为一个英文版面,即使 浏览量再小,也要完善它的功能而且没有超链接并且下面给出的电话信息出现乱码, 而中文版并没有乱码。计算机虽然设置了...
Fiddler抓包实验
l1174821243的博客
09-10 2486
实验一:Fiddler 修改User-Agent ,伪装客户端。 仿造实验一,模拟手机访问其他网站。 操作步骤:在菜单栏中找到Rules选项中的User-Agents选项,选择需要模拟的手机型号。 在浏览器中打开www.taobao.com显示的便是淘宝触屏版。 实验二:Fiddler 修改HTTP 请求。 在菜单栏中找到Rules选项中Automatic Breakpoint的Before Requests选项(表示拦截请求响应)。 在浏览器中搜索www.163.com 把...
web安全技术-实验、初级的SQL注入
08-20
初级的 SQL 注入实验过程是 Web 安全技术中的一部分,该实验旨在掌握 MySQL 数据库的相关表格的基本操作和常用函数,熟悉 SQL 注入的基本流程,掌握 MySQL 中 UNION 的使用规则,并能够进行 PHP+MySQL 环境注入攻击...
信息安全实验基于Web的SSL应用
08-12
信息安全实验基于 Web 的 SSL 应用 本实验的目的是为了深入了解 SSL 的工作原理,熟练掌握 Windows 2000 Server/Server 2003 环境下 CA 系统和 SSL 连接的配置和使用方法。在实验中,我们将学习如何配置 CA 系统,...
天津理工大学信息安全专业网络攻防实验3-Web攻击与防御
11-28
在本次实验中,主要目标是深入理解Web安全中的一个重要威胁——SQL注入,并掌握利用sqlmap工具进行POST注入攻击的方法。SQL注入是一种常见的黑客攻击手段,通过在Web应用的输入字段中插入恶意SQL代码,攻击者可以...
信息安全工程实验报告(附HOOK源码)
07-01
实验 经典Web漏洞-在线靶场完成的(暴力破解、验证码绕过、XSS、CSRF、SQL注入、远程代码执行、文件包含、文件下载和上传、越权漏洞)基本所有的在线靶场实验都做了 实验五 Windows系统中的HOOK技术(1.了解...
0信息安全实验及评价要求1
08-08
信息安全基础实验要求16课时实验,要求完成如下实验项目:一、实验项目1.必做实验:(6课时)# 密码学及应用(全部)# 网络安全——漏洞扫描# 网络安全——采集
信息安全原理与技术第一次实验:系统安全实验
sjx3161的博客
05-29 2891
信息安全原理与技术第一次实验:系统安全实验前言一、实验目的二、实验原理三、实验环境实验内容、思考题 前言 为了帮助同学们完成痛苦的实验课程设计,本作者将其作出的实验结果及代码贴至CSDN中,供同学们学习参考。如有不足或描述不完善之处,敬请各位指出,欢迎各位的斧正! 该文图片非常多,字数约两万余字,请注意流量消耗! 一、实验目的 掌握Windows帐户与密码设置方法; 掌握文件系统的保护和加密方法; 掌握Windows操作系统安全策略与安全模板的使用、审核和日志的启用的方法; 掌握Windows操作系
信息安全技术实验:网络嗅探与欺骗
qq_43605229的博客
09-11 760
嗅探的原理 FTP 是文件传输的一个协议,基于不同的操作系统,有不同的 FTP 应用程序,而这些 应用程序都遵守同一种协议以传输文件。Telnet 是通常网络连接所采用的一种协议,通常采用明文进行数据传输,可以通过嗅探 的方式捕获用户名和密码。通过抓包工具进行操作,筛选出Telnet服务下的数据,成功的抓取了账号与密码数据(账号:lct,密码:123)在该过程中,要将依存关系中的其他服务都打开才能打开Telnet服务。1、理解数据嗅探的原理,协议封装的过程,典型嗅探工具的使用。之后开启Telnet服务。
信息安全实验
lzk的博客
05-19 3424
实验一 加密与解密 一、实验目的 1.提高对加密与解密原理的认识 2.提高对信息隐藏原理的认识 3.学会使用加密与隐藏软件 4.了解口令破解基本方法; 5.体会设置安全口令的重要意义 二、实验要求 使用任意高级语言做出给文本文件加、解密的软件. 三、实验重点、难点 1.Easy code boy plus的使用 2.能熟练运用Lophtcrack、Aoxppr、Apdfprp、Mailhack等 实验学时 2学时 五、实验内容 1、凯撒密码实现、维吉尼亚表加密、DES 2、加密与隐藏软件的使用 3、利
[信息系统安全实验] 实验1.Web安全
LostUnravel的博客
09-20 2668
[信息系统安全实验] 实验1.Web安全 CSRF 1 基于GET请求的CSRF攻击 首先登录 Samy 账号并手动添加 Alice 为好友,然后用 HTTP Header Live工具观察 HTTP 数据包. 可以看到是一个 GET 请求, 附带信息有 friend 的 id 号, 后面跟着 elgg_ts 类似时间戳以及一个 elgg_token 令牌. 重点在于 friend 的id 号. 通过浏览器的 inspector 来查看 Elgg 的 Newest members 页面. 如图可以看
信息安全实验——网络扫描技术
weixin_51970555的博客
10-20 3108
IP协议并不是一个可靠的协议,它不保证数据被送达,保证数据送达的工作是由其他的模块来完成,其中一个重要的模块就是ICMP(网络控制报文)协议,且常见的ICMP报文类型有两种:差错报告报文和询问报文。了解到Nmap是一款开源免费的网络发现(Network Discovery)和安全审计(Security Auditing)工具,最初是由Fyodor在1997年开始创建的,随后在开源社区众多的志愿者参与下,该工具逐渐成为最为流行安全必备工具之一。
Web安全攻防渗透测试
m0_63223219的博客
04-05 6863
1. Nmap的基本 Nmap + ip 6+ ip Nmap -A 开启操作系统识别和版本识别功能 – T(0-6档) 设置扫描的速度 一般设置T4 过快容易被发现 -v 显示信息的级别,-vv显示更详细的信息 192.168.1.1/24 扫描C段 192.168.11 -254 =上 nmap -A -T4 -v -iL ~/targets.txt (iL表示要扫描的目标位于一个文档中) --------------- 192.168.1.1/24 ...
Web安全实践实验
restart-llyang的博客
06-22 1740
Web安全实践实验 一、网站加密过程简介 CA(Certificate Authority) 加密 网站 步骤: 1.CA给浏览器厂商发公钥 2.阿里把公钥给CA,CA用自己的私钥加密阿里的公钥,返回给阿里 3.用户用浏览器访问阿里的网站,阿里把用CA的私钥加密过的自己的公钥给用户 4.用户用浏览器中的CA公钥解密阿里公钥,正确配对则信任访问的网站...
Juyere安全程序攻击实验指南:Web安全实践
Juyere是一个基于Java的Web安全实验平台,模仿国外安全测试在线Web应用,支持多种常见的Web安全漏洞模拟,如XSS、XSRF、DoS等,并具备良好的扩展性和维护性。" Juyere实验平台是中山大学Web安全课程的一个重要组成...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值