“Web安全基础”实验教学探讨.docx

“Web安全基础”实验教学探讨

摘要：Web安全实验体现了网络空间安全的特色，作者围绕网络安全的教学思维，以多门软件开发课程为基础，结合互联网主流安全漏洞的攻防技术，综合成熟的安全攻防实验平台和学生自有的代码项目，实现了进行安全测试与防御，举例解析了实验课程项目。

中图分类号：G434文献标识码：A论文编号：1674-2117（2019）08-0103-04

教学资源准备

同时，与国内多家网络安全公司及安全教育公司密切合作，签署教育部产学研合作协同育人项目，引入多个安全攻防教学平台，为网络安全实践教学提供了较丰富的校内在线资源。

实验课程设计

本课程的主要预修课程包括操作系统、数据库应用、Web系统开发等，基于合作引入的网络安全攻防平台，合理地组织现有资源，并针对本校学生特点，设计具有系统性和开放性的实验课程内容。

“Web安全基础”课程的理论课主要讲述了客户端脚本安全、Web服务端应用安全以及安全运营等内容[1]，可供参考的思维导图如下页图1所示。

配套的实验课以上述理论课为线索，参照国际主流的OWASP（OpenWebApplicationSecurityProject，开放式Web应用程序安全项目）组织公布的Web安全应用Top10文档[2]，同步关注Web安全领域的十大威胁，力争构建能激发学生兴趣、培养其安全应用思维和安全开发方法。具体实验内容如下页表所示，每次实验为2课时，共18课时。

实验项目示例

本课程实验的基本過程主要包括如下内容：漏洞现象验证及相关工具应用、安全漏洞利用、漏洞防御、进阶应用。根据理论课已讲述的内容，配合必要的工具软件，完成漏洞现象验证，实现基本的感性认识，结合相关安全事件，认识到漏洞带来的威胁。在配套的安全实验平台，可以完成进一步的漏洞利用（攻击）过程，在模拟的目标平台，实现漏洞利用，如获取Web应用的账户信息。漏洞防御主要与程序开发相关，结合以往专业课，对之前不安全代码进行改进，实现防御目标。进阶应用环节可以在课后继续学习中完成。下面，列举两个实验项目给予分析。

1.XSS漏洞的危害、攻击与防御

（1）XSS漏洞现象验证

①从网络安全实验平台验证。通过平台提供的基础案例，很快能从中验证XSS（Cross-siteScripting）跨站脚本攻击现象，如反射型XSS被执行时的弹窗现象。

②从学生以往课程实验中验证。如前文所述，Web系统开发是前驱课程，学生重新打开之前的实验项目，在调试中输入XSS代码测试，可以更显著地发现跨站脚本执行的结果。例如，一个基于JSP开发的数据库存取实验项目，在提交数据的表单中，填写包含如下脚本：

原代码并未做XSS防御处理，将上述脚本直接保存至数据库。而后，在数据库读取显示的页面中，当访问上述记录时，直接把当前浏览用户的cookie信息发送到了攻击者的指定地址http：//69：8007/XSS_savecookie.asp，从而发生了存储型跨站脚本攻击。特意设计了攻击者收集cookie信息的网站使用asp技术，以示接收信息的平台类型不受限制。学生从自己以往的实验项目中发现了Web安全漏洞，体会更加深刻。

（2）利用XSS的攻击

攻击过程可以根据需要，使用合作公司的实验平台或OWASP开放的WebGoat安全测试项目，也可以在学生自建虚拟机环境中测试。通过XSS漏洞利用，获取受害者cookie信息后，攻击者可以无需账号密码直接登录到相关网站。如果该账户权限是管理员，那么攻击者就获取了该网站的最高权限，危害很大。

（3）XSS防御

防御环节是最重要的，发现安全漏洞后，要通过适当的防范给予防御，这是本专业的主要培养方向。例如，在该实验项目中，学生对带有存储型XSS漏洞的Web项目进行了HTTPonly设置。之后，在攻击者获取的信息中，就无法读取cookie信息，从而对该项目实现了有效的加固。当然，也让学生意识到防范的措施并不是单一的，也不是不计成本的。

（4）XSS进阶

进阶学习既有攻击方面的内容，也有防御方面的内容。给学生提供适当的进阶学习方向，如构建更隐蔽的XSS代码实现攻击，或采用更先进的Web框架开发技术，都可以有进一步的攻防学习进阶。进阶学习成果可以安排学生在课堂中讨论。

2.SQL注入的危害、攻击与防御

（1）SQL注入现象验证

①从网络安全实验平台验证。通过平台提供的基础案例，可以提供快速验证。例如，可以通过SQL注入，获取数据库中更多的信息显示。

②从学生以往课程实验中验证。与XSS相似，以往Web开发课程中的SQL存取并未注意防范注入问题。如图2所示，结合使用WebScarab拦截工具，对用户登录的密码进行SQL注入，修改password字段内容为“aor1=1--”后提交请求，登录成功。它不仅绕过了用户密码，还避开了网页前端使