密码学课设试卷.doc

北京信息科技大学 信息管理学院 信息系统安全基础实验报告 课程名称 实验项目 信息专 业班级/学号学生姓名 成 绩 指导教师 密码学基础 一、 理解对称密码算法和非对称密码算法的基本思想 掌握RSA算法的基本原理 理解体会加密算法在实际中的应用 实验内容： 运行掌握RSA产生公钥和私钥的方法； 掌握和验证RSA的加密、解密过程； 实验环境 RSA演示软件 实验过程 实验二 Web漏洞扫描工具的使用 实验目的： 了解常见的Web网站漏洞及相应的攻击技术 掌握用AWVS进行Web漏洞探测的方法，并能分析结果 实验内容： 网站目录结构探测 网站的Web漏洞扫描 实验环境 Windows Server 2003 shop靶机 实验过程 运行AWVS安装程序，安装到系统默认路径下。 对shop靶机进行扫描。 多扫几个站，分析扫描报告。 实验三 SQL注入工具使用 实验目的： 理解SQL注入原理 理解SQL注入的危害及防范它的必要性 实验内容： 对shop靶机进行手工SQL注入 使用啊D注入工具对shop靶机进行注入攻击 使用sqlmap对shop靶机进行注入攻击 提出防范SQL注入的办法 实验环境 Windows Server 2003 shop靶机 四、实验过程 1. 五．实验截图 1.SQL手工注入 判断是否存在注入点： 存在可用注入点 存在可用注入点 不存在可用注入点 判断admin表是否存在 Admin表存在 判断字段 password 是否存在 字段password存在 检测密码的长度 正常 错误 查询密码的第一位数的ASCII码 http:***/shop/productshopxp.asp?id=485? and (select top 1 asc(mid(password,1,1)) from admin)54 错误 http:***/shop/productshopxp.asp?id=485? and (select top 1 asc(mid(password,1,1)) from admin)55 错误 2. 使用啊D注入工具对shop靶机进行注入攻击，获得后台用户和密码的数据表。 进入后台管理入口 登陆用户界面 登陆成功 提出防范SQL注入的方法 答：1.限制用户输入特殊字符 2．在设计与数据库链接并访问数据时，在需要填入数值或数据的地方，使用参数来给值，用@或？来表示参数。 理解上传漏洞产生原因 理解上传验证绕过原理 实验内容： 文件内容检测绕过 0x00 截断绕过 上传一句话木马到shop靶机 提出防范的办法 实验环境 Windows Server 2003 shop靶机 Burp suite 四、实验过程 1. 生成一句话木马。 2．判断shop靶机的验证绕过机制。 3. 将一句话木马和图片合成。 4. 上传一句话木马，0x00 截断绕过。 5. 菜刀连接，获得webshell，下载数据库。 6. 思考防御方法。 实验截图：1.复制qq.png到C盘根目录并创建一句话木马： 2.修改靶机代理服务器 3.cmd 上传一句话木马，0x00截断绕过 菜刀连接 防御方法： 1.对用户上传的文件格式和文件路径进行严格的审查。 2.在系统维护阶段采取严格措施，定期查看系统日志，定时查看第三方插件的更新状况，如果第三方插件被曝有安全漏洞应当立即进行修补。 3.对上传文件的过程进行严格的检测，，通过部署安全设备来进行防御。 实验五 CSRF和XSS攻击 实验目的： 理解CSRF和XSS攻击原理 了解CSRF和XSS攻击方法 区别CSRF和XSS攻击 熟悉DVWA渗透测试平台 实验内容： Phpstudy安装 DVWA渗透测试平台安装 CSRF和XSS攻击 提出防范的办法 实验环境： Phpstudy DVWA渗透测试平台 实验过程： 1、安装phpstudy； 2、安装DWVA； 3、进入DVWA，选择low级别，利用CSRF攻击更改管理员密码，默认的管理员密码是password。 4、 XSS存储式漏洞攻击。 5、 XSS反射式漏洞攻击。 6、 思考CSRF防御方法。 7、 思考XSS防御方法。 1.安装phpstudy 2.重置密码 3.解压缩DVWA 4.访问http://localhost/DVWA-1.9/setup.php 5.将password改为步骤二中自己重置的密码 6.再次重建数据库 7. 进入链接 http://localhost/DVWA-1.9/login.php 8.将级别改为low，运用CSRF修改本机管理员密码 9.登陆修改后的链接地址 http://localhost/DVWA-1.9/vulnerabilitie