信息安全实验课程一(软件安全、web安全)实践教学大纲4-汪洁全解.doc

实践项目编号：001 实践项目名称：学时：： . Phrack 49, Volume 7, Issue 49. Available at /people/faculty/tkprasad/courses/cs781/alephOne.html Notes on Non-Executable Stack. SEED实验室 一、实践目的或任务 通过指导学生上机实践，教学基本要求 1.了解实验目的及实验原理； 2.； 3.总结在过程中遇到的问题、解决办法和收获。 教学的内容或要求 类型或性质 要求 所需仪器设备 计算机相关软件（）项目名称：Return-to-libc学时：： . Phrack 49, Volume 7, Issue 49. Available at /~tkprasad/courses/cs781/alephOne.html SEED实验室 一、实践目的或任务 通过指导学生上机实践，Return-to-libc 攻击的基本原理有更深刻的认识，并熟悉Return-to-libc 攻击过程。 二、实践教学基本要求 1.了解实验目的及实验原理； 2.Return-to-libc 攻击 3.总结在过程中遇到的问题、解决办法和收获。 教学的内容或要求Return-to-libc程序，并对漏洞进行攻击，获得root权限； 4．使用保护机制来对抗缓冲区溢出攻击； 5．分析实验结果。 四、实践类型或性质 要求 六、实践所需仪器设备 计算机相关软件（）项目名称：学时：： /~wedu/seed/Labs_12.04/Software/Environment_Variable_and_SetUID/files/setuid.pdfChen, Wagner, and Dean. /~wedu/minix/projects/setuid_paper.pdf Bishop./~bishop/secprog/1987-sproglogin.pdf SEED实验室 一、实践目的或任务 通过指导学生上机实践，让学生对set-uid的基本原理有更深刻的认识，并熟悉set-uid编程过程。 Set-uid是Unix操作系统的一个重要的安全机制。当设定uid程序运行时,它假定所有人拥有特权。例如，如果程序的所有者是root权限，当任何人运行这个程序，程序将获得root权限。Set-uid允许我们做很多有趣的事情，但这也是许多坏事情的罪魁祸首。这个实验的目的是让学生理解这些特权程序面临什么样的风险。 教学基本要求 1.了解实验目的及实验原理； 2. 3.总结在过程中遇到的问题、解决办法和收获。 教学的内容或要求理解这些特权程序面临什么样的风险以及如果有错误代码如何攻击。 四、实践类型或性质 要求 六、实践所需仪器设备 计算机相关软件（）项目名称：学时：：（1）SEED实验室 目的或任务 当多个进程并发访问和操作同样的数据时，会发生竞争条件的情况。竞争的结果依赖于访问发生的特定顺序。如果一个特权程序有竞争条件漏洞时，攻击者运行一个并行的进程来与特权程序竞争，从而改变该程序的行为。通过指导学生上机实践，让学生理解竞争条件漏洞，并学会保护程序免受竞争条件漏洞攻击。 教学基本要求 1.了解实验目的及实验原理； 2. 3.总结在过程中遇到的问题、解决办法和收获。 教学的内容或要求 四、实践类型或性质 要求 六、实践所需仪器设备 计算机相关软件（）项目名称：学时：：SEED实验室 (scut / team teso)?Exploiting Format Strng Vulnerabilities Pradeep Padala.?Playing with?ptrace 目的或任务 格式字符串漏洞是由于像printf(user_input)代码变量user_input由用户提供。当这个程序运行(如uid)时，这printf变得危险因为它可能会导致以下后果之一1）崩溃2）任意读取内存在任意的修改值。最后结果是非常危险的因为它可以允许用户修改特权程序的内部变量从而改变程序的行为。通过指导学生上机实践，制定一个计划利用这个安全漏洞教学基本要求 1.了解实验目的及实验原理； 2.格式字符串漏洞 3.总结在过程中遇到的问题、解决办法和收获。 教学的内容或要求格式字符串漏洞格式字符串漏洞 四、实践类型或性质 要求 六、实践所需仪器设备 计算机相关软件（）项目名称：学时：：SEED实验室 Carters Shellshock BitBucket Icamtuf Blogpost on Shellshock目的或任务 2014年9月24日,在Bash中被发现严重的漏洞,它被称为。这会影响许多系统。该漏洞可以很容易地利用远程或本地机器。学生通过上机实践，。教学基本要求 1.