• WEB安全教学实验的设计 不要轻易放弃。学习成长的路上,我们长路漫漫,只因学无止境。


    :本文针对信息安全中web安全漏洞的学习,设计了一种基于LAMP的web安全教学实验系统。该系统通过模拟真实场景演示了目前主的web安全问题,并提出了防范这些漏洞的措施,让学生在实践中学习web安全相关知识。

    关键词:web安全LAMP教学实验

    中图分类号:TP3 文献标识码:A 文章编号:1007-9416(2011)11-0234-02

    1、引言

    随着互联网技术的不断发展,信息化正融入我们每个人的生活。Web服务以其特有的高效性、易用性和及时性使得大量的机构将业务转到Web应用层,Web应用已经成为主流的业务系统载体。然而这一领域的安全形势却不容乐观,由于web基于的http协议本身的缺陷以及代码编写过程中的存在的规范性等原因,使得web应用层攻击成为了当前的主网络安全问题。本文设计了一种基于LAMP的web安全教学实验系统来普及应用层网络安全知识,能够支持高校信息安全领域中的教学应用,让学生能够在实践中学习web安全知识,防范网站在编写以及运行中潜在的web安全漏洞。

    2、主流WEB漏洞及防范策略

    根据开放式Web应用程序安全项目(OWASP,OpenWebApplicationSecurityProject)近几年公布的owasptop10web安全威胁[1],总结了目前主流的web安全漏洞有以下几个方面:

    (1)注入漏洞,包括SQL命令注入和OS命令注入等。当外部不可信的输入被当作命令或查询的一部分进行执行就产生了漏洞[2],它混淆了代码和数据。防护措施:将一切输入当作恶意输入对待,进行有效的过滤和截断。

    (2)跨站脚本攻击(xss),XSS本质上也是注入攻击的一种,即HTML注入攻击,是目前最流行的web攻击方式之一,防护方式:可以输入过滤也可以输出编码。

    (3)不安全的直接对象访问,服务器上具体的文件名,路径或者万博体育奥运官网,万博电子竞技直播平台,万博体育集团概况数据库关键字等内部资源被暴露在URL或者网页中,攻击者可以此来尝试访问其他资源。防范措施:禁止一切后台对象在网页中直接关联,而采取间接联系。

    (4)跨站请求伪造(CSRF),已经通过权限认证的受害者点击伪造页面后,在未经用户同意的情况下进行相关操作。防范措施:过滤用户输入,以及在重操作之前加入确认信息,提醒用户目前在进行的相关操作。

    (5)传输层保护,普通HTTP传输协议通过明文传输的,安全性极差。防范措施:使用加密的HTTPS进行传输,保证数据传输安全。

    (6)认证和会话管理漏洞,账户凭据和会话令牌往往没有得到适当的保护。攻击者通过该漏洞获取用户的密码、密钥、认证令牌或假冒其他使用者的身份来实施攻击。防御措施:对会话Cookies进行客户端IP地址校验,来检测并阻断认证和会话管理攻击。

    3、实验系统结构与模块设计

    3.1系统体系结构

    实验系统采用B/S架构,由客户端和服务器端两部分构成,如(图1)所示。

    在客户端,浏览器通过PROXY访问,这样就可以拦截和修改浏览器提交和返回的数据。

    服务器端采用LAMP环境,它是目前中小型网站的建站首选,具有易于开发、更新速度快、成本低的特点。

    随着Web应用的功能及交互性越来越强,可以访问文件系统、数据库系统,甚至可以调用系统API执行系统命令,我们也将这一部分内容加入到实验系统中。

    3.2系统功能模块

    实验系统由6个子实验组成,每个子实验用到的功能模块如表1所示:

    表1子实验的功能模块组成

    下面介绍每个功能模块:

    (1)博客系统模块:模拟了一个小型博客网站,用户可以进行注册登录,发言,并且可以查看其他人的发言。用户数据库操作在安全等级为0(危险)的情况下,对数据不进行任何处理就进行查询修改等操作,在安全等级为1(万博体育奥运官网,万博电子竞技直播平台,万博体育集团概况安全)的情况下,则进行数据的预处理,防止SQL注入:mysql_real_escape_string($username)。而在用户留言时,不仅对输入数据进行预处理,而且还对输出数据进行转义。

    (2)OS命令调用模块:调用OS系统的api执行操作。实验系统使用了DNS查询命令,用户输入主机或者IP地址,后台执行查询功能。在安全等级为0的情况下,直接将用户输入做命令参数执行,存在严重的安全隐患,用户可以输入一些非法字符隔断前一个命令,后面再加上其他命令。在安全等级为1的情况下,对用户输入数据进行严格匹配。

    (3)文件系统模块:查看服务器端的文件内容。提供了几个文本文件进行查看,在安全等级为0时,网页中显示的文件和服务器存储文件直接对应,后台不进行任何处理直接进行读文件操作。这样做就将整个服务器暴露了,非常危险。在安全等级为1的情况下,通过标志位的设置,将前台文件与后台文件进行间接关联。

    (4)留言系统模块:提供留言功能,与实验系统处于不同的域,以验证跨站脚本攻击,同时提供了验证session漏洞的功能。针对CSRF,首先必须对用户输入和输出进行过滤和转义,防止非法脚本的执行。而且对于重的权限操作,使用验证码等方式进行确认。

    (5)https模块:配置服务器端,提供https通信,学生需自行完成https模块的搭建。系统提供openssl,通过配置?apache?以支持?SSL,为网站服务器生成私钥及申请文件,?安装CA?及通过CA为网站服务器签署证书,最后验证https的保密性。

    3.3实验系统操作流程

    实验系统的主操作过程如(图2)所示,系统提供了丰富的子实验。数据库初始化功能用于将实验过程中产生的数据还原,在线帮助则提供了关键性技术的帮助说明,安全等级切换用于切换危险代码与安全代码,产生真实可见的对比效果。代码对比将服务器运行的代码细节提供给实验人员,了解危险代码的编写方式以及如何正确编写安全web代码。

    4、结语

    本文在研究了目前主流web应用安全漏洞的基础上,设计并实现了基于LAMP环境的web安全教学实验系统。它能够支持高校信息安全领域中的教学应用,让学生能够在实践中学习web安全知识,防范网站在编写以及运行中潜在的web安全漏洞。

    参考文献

    [1]陈楠,薛质.SQL注入攻击的实现和防范[J].信息安全与通信保密,2005(01):48-50.

    作者简介

    吴晓恒(1987.11-),男,研究生硕士,研究方向:信息安全.

    陆松年,教授,博士生导师,研究方向:信息安全.




    这是水淼·dedeCMS站群文章更新器的试用版本更新的文章,故有此标记(2019-02-21 18:46:47)

    上一篇:让思想品德课为成学生最向往的“地方”

    下一篇:成都市金土地工程