计算机技能大赛安全攻防项目
任务一:IIS安全加固与证书签发(30分)
任务环境说明:
(Web服务器操作系统:windows2003 server;
(安装服务/工具1:Web服务,版本是IIS-6.0;
(安装服务/工具2:FTP服务,版本是IIS-6.0;
(win-wireshark操作系统:windows2003 server;
(安装服务/工具1:抓包工具,wireshark;
配置Windows 防火墙,使IIS Web服务能够被访问,对配置进行截屏。(3分)
加固IIS Web服务器的安全配置,使得Web服务只能被内网用户所在的
为IIS Web服务器申请服务器证书,对申请摘要进行截屏。(3分)
为IIS Web服务器颁发一年期服务器证书,对颁发过程进行截屏。(3分)
将IIS服务器启动SSL安全通信,并安装服务器证书。使用win-wireshark虚拟机中的浏览器访问该Web服务进行测试。由于cn和IIS 的域名不一致,所以一定有警报弹出窗,请将该窗口截屏。(3分)
将IIS 服务器启用客户端证书设置。使用客户端浏览器访问该Web服务进行测试。将要求客户端提供证书的弹出页面截屏。(6分)
为PC申请CA证书。颁发该证书。对申请和颁发过程截屏。(6分)
在PC上安装CA证书。使用PC浏览器访问该Web服务进行测试,对操作过程截屏。(3分)
任务二:数据库攻防与加固 (40分)
任务环境说明:
(xserver-mysql服务器操作系统:Redhat Linux AS5;
(安装服务/工具1:Web服务,版本Apache 2.2.23;
(安装服务/工具2:MySQL服务,版本5.0.22;
(安装服务/工具3:PHP服务,版本5.0.48;
(安装服务/工具4:Nmap服务,版本4.11;
进入xserver-mysql, 加固MySQL服务器,使所有的访问能被审计,要求通过对mysqld 的启动项进行加固,对加固操作进行截屏。(4分)
配置linux-mysql 防火墙,允许MySQL服务能够被访问,要求规则中只包含端口项,对防火墙规则列表进行截屏。(4分)
进入xserver-mysql,查看所有用户及权限,找到可以从任何IP地址访问的用户,对操作过程进行截屏。(8分)
对题号3中的
检查xserver-mysql中的是否存在匿名用户,如果存在匿名用户,则删除该用户,将发现的匿名用户信息以及删除过程
改变默认MySQL管理员的名称,将系统的默认管理员root 改为admin,防止被列举,将执行过程进行
禁止MySQL对本地文件进行存取,对mysqld 的启动项进行加固,将加固部分截屏。(4分)
限制一般用户浏览其他用户数据库,对mysqld 的启动项进行加固,将加固部分截屏。(4分)
任务三:CSRF攻击(40分)
任务环境说明:
(xserver操作系统:Redhat Linux AS5;
(安装服务/工具1:Web服务,版本Apache 2.2.23;
(安装服务/工具2:MySQL服务,版本5.0.22;
(安装服务/工具3:PHP服务,版本5.0.48;
(安装服务/工具4:Nmap服务,版本4.11;
(metas2-lab-1操作系统:Redhat Linux AS5;
(安装服务/工具1:Web服务,版本Apache 2.2.23;
(安装服务/工具2:MySQL服务,版本5.0.22;
(安装服务/工具3:PHP服务,版本5.0.48;
(安装服务/工具4:Nmap服务,版本4.11;
(安装服务/工具5:telnet服务端,版本0.17-39-el5;
(安装服务/工具6:telnet客户端,版本0.17-39-el5;
(win-wireshark操作系统:windows2003 server;
(安装服务/工具1:抓包工具,wireshark;
访问metas2-lab-xss "/"->"csrf",分析登录的页面源程序,找到提交的变量名,并截屏。(4分)
启动win-wireshark,启动桌面程序csrfp,设置完成后,启动wireshark设定过滤条件包含协议和端口,并对抓取的数据包信息进行截屏。(8分)
在监听数据中分析得到用户名和密码,并截屏。(8分)
根据用户名和密码,登录进入“csrf”页面,进入"csrf攻防"页面,点击“源程序”,分析需要提交的引用变量名称,并截屏。(4分)
在xserver中存在csrf恶意攻击程序test.php,请修改该恶意程序,使得登录用户密码为12erfgbn,对test.php修改过程进行
在PC上执行csrf攻击,并截屏。(4分)
在win-wireshark中启动csrpcheck程序,输入metas2-lab-1的地址,点击“测试”将返回结果截屏。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
