时间:2016-02-02 13:57 文章来源:http://www.lunwenbuluo.com 作者: 魏为民,袁仲雄 点击次数:
第四组同学在课堂上分析并演示了五种常见的欺骗攻击:IP欺骗、ARP欺骗、Email欺骗、DNS欺骗和Web欺骗,特别是对网络钓鱼的防御和检测提出了他们的见解。他们认为网络钓鱼不只是一个技术性问题,攻击者会不断发现攻击用户的新途径,目前没有单一的解决方案。
对于检测假冒网站,他们建议:1)通过第三方网站身份诚信认证辨别真实性;2)核对网站域名,假冒网站一般和真实网站有细微区别,如在域名方面,假冒网站通常将英文字母"1"替换为数字"1",CCTV换成CCYV等仿造域名;3)比较网站内容。假冒网站的字体样式与真实网站往往不一致;4)查询网站丨CP备案查询网站的基本情况;5)大型电子商务网站一般应用了可信证书类产品,如其网址非"https"开头,应谨慎对待;6)专用网站检测,如SiteWatcher检测假冒网站,如图2所示。
图2假冒网站检测
2.3SQL注入攻击及防御
随着B/S模式应用开发的流行,使用这种模式编写应用程序的程序员也越来越多。但由于程序员的水平及经验参差不齐,很多程序员在编写表单代码的时候,将用户输入的内容直接用来构造动态SQL命令或作为存储过程的输入参数,攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令这就是SQL注入攻击[7]。表面看SQL注入跟一般的Web页面访问没什么区别,一般防火墙也不会对SQL注入发出警报,故而网站被入侵很久也可能不会被发觉。据调查,国内采用ASP+Access或SQLServer数据库的网站占70%以上。
第八组的同学在虚拟机上搭建一套采用ASP+Access数据库的留言板网络应用,其首页地址为:http:〃192.168.80.128:8181/bbs/index.asp,公告链接为:http:〃192.168.80.128:8181/bbs/gshow.asp?id=1,通过在id参数后面加上andexists(select*frommsysobjects),构成完整的SQL注入测试语句:http://192.168.80.128:8181/bbs/gshow.asp?id=1andexists(select*frommsysobjects)。服务器返回的结果如图3所示,从而确定该网站存在SQL注入漏洞,且后台采用的是Access数据库。
模拟实验后,他们将SQL注入技术应用于互联网真实环境,探测有SQL注入漏洞的网站。通过百度探测采用ASP搭建的网站,搜索语句为〃inurl:asp?id=site:com”扫描到有注入点的网站,通过SQL注入查看到了某网站的数据库、表、字段等内容,获得系统管理员账号admin及其口令的MD5值,通过在MD5解密网站上解密后,成功登陆该网站后台管理系统,如图4所示。
SQL注入是危害Web安全的主要攻击手段,存在SQL注入漏洞的网站一旦被攻击成功后,产生的后果可能是毁灭性的,如:1)非法越权操作数据库内容;2随意篡改网页内容;3添加系统账户或者数据库账户;4)安装木马后门;5)本地溢出获得服务器最高权限。在成功演示SQL注入漏洞后,第八组同学联系该网站系统管理员,善意提出阻塞SQL注入漏洞的建议,该网站网管员向他们表示了衷心的谢意。
3.结束语
《网络攻击与防御》课程是信息安全专业的核心课程,通过该门课程的学习,使学生掌握网络安全技术研究的内容以及网络安全应用领域的相关基本知识和实践技能,为从事网络安全的应用、管理等岗位工作奠定坚实的基础。该门课程能使学生具备胜任企业网络安全管理、系统维护、网络安全防御等相关专业技术岗位的工作,为学生通过计算机网络管理员等技能证书的考核起到良好的支撑作用。在实践教学环节中以"情境教学〃为主线,将教、学、做有机结合在一起。通过本课程的学习,有效培养学生的实际动手能力、自主学习、分析问题、解决问题的能力,同时也能培养学生团队协作和组织能力,使学生具备良好的职业素养。
网络攻击者和防御者之间的博弈是信息安全领域的永恒话题。技术的持续发展演变使得信息安全形势也随之动态变化,并给信息安全的教学带来了新的挑战,采用攻防角色分组的情境教学方式是我们一次有益的尝试。
参考文献:
[1]张玉清等.网络攻击与防御技术[M].北京:清华大学出版社,2011.
[2]沈昌祥.加强信息安全学科、专业建设和人才培养J].计算机教育,2007,(10):6.
[3]国家计算机网络应急技术处理协调中心.2011年中国互联网网络安全报告[EB/OL]2012-05-23.
[4]张敏钰.钓鱼网站简介[J].保密科学技术,2011,(06):72-75.
[5]张加龙.一种检测鉴别假冒网页的方法[D].北京:吉林大学,2008.
[6]练坤梅,许静,田伟,张莹.SQL注入漏洞多等级检测方法研究[J].计算机科学与探索,2011,(05):474-480.
[7]顾纯祥,徐洪,郑永辉.信息安全专业实践教学方法探讨[C].2011年全国密码学与信息安全教学研讨会,2011.224-226.
联系方式
随机阅读
热门排行