a剧情麻豆映画国产在线-a码片全部免费无码播放-a毛a毛片无码不卡无码一级-a毛看片免费观看视频-a毛片基地免费全部视频-a毛片全部免费播放

一、教學指導思想

通過本次課程的學習，使學生理解Web漏洞的基本概念、Web服務器工作原理和典型應用；掌握Web防護的構建，包括：防止ASP源代碼的泄漏，防止文件對象組件篡改FAT分區的文件，防止HTML或JavaScript改變輸出結果，解決ASP程序密碼驗證漏洞，解決索引服務漏洞。 

二、教材分析

1、教材版本

  《網絡安全》，黃傳河，杜瑞穎，張滬寅等編著，武漢大學出版社。

2、本節課在教材中的地位

  起到承上啟下的作用，前有操作系統漏洞及攻防，后有訪問控制技術，將系統中的漏洞、不足，由不可控向可控過度。Web漏洞是常見漏洞的一種表現形式，也引入了后面的內容，為加強系統安全、防范漏洞，做了準備工作。同時將防范轉為主動控制系統中可能出現的危險。

3、教材處理

  從實踐出發，以基本理論的應用和網絡安全工具的使用為中心，以理論講述為基礎，避免了一些傳統網絡安全理論過多、理論過難、操作性不強、理論和實際聯系不緊的問題，重點介紹Web漏洞的最新問題和工具的運用。

4、教學目標

  通過本次課程的學習，使學生理解Web漏洞的基本概念、Web服務器工作原理和典型應用；掌握Web防護的構建，包括：防止ASP源代碼的泄漏，防止文件對象組件篡改FAT分區的文件，防止HTML或JavaScript改變輸出結果，解決ASP程序密碼驗證漏洞，解決索引服務漏洞。

5、教學重點與難點

  重點：ASP及IIS的安全性。

  難點：防止HTML或JavaScript改變輸出結果。

三、學情分析

1、授課對象

2、針對不同授課對象采取相應措施

四、法指導

1、課前階段

  回憶常見Web頁面錯誤、無法登錄、頁面無法正常加載等問題。

2、課堂階段

  理論知識的講解，加上案例教學的配合。

3、課后階段

  要求學生在自己的計算機上做好Web攻擊的防御工作，解決實際問題，提高其分析Web攻擊的種類的能力，增強其實際操作的能力。

五、教法選擇

1、啟發引導法

2、案例法

3、溝通交流

4、激勵法

5、歸納總結

六、教學程序

1、前一次課程內容回顧

  DNS欺騙攻擊、Email欺騙攻擊、Web欺騙攻擊、IP欺騙攻擊。

2、本次課內容引入并講解

（1）介紹Web服務器常見漏洞（演示法）

a.Web入侵

①收集資料

②取得普通用戶的權限

③遠程登錄

④取得超級用戶的權限

⑤留下后門

⑥清除日志

b.Web的三種安全問題

①服務器向公眾提供了不應該提供的服務

②服務器把本應私有的數據放到了公開訪問的區域

③服務器信賴了來自不可信賴數據源的數據

c.Web安全問題的來源

①管理員為了管理方便而設立遠程管理功能

②為了方便用戶使用而設立上傳/下載機制

③由于疏忽而缺乏應有的安全檢查

④為了省錢而使用不足夠安全的軟件和硬件

d.常見Web安全問題

①物理路徑泄露

②CGI源代碼泄露

③目錄遍歷

④執行任意命令

⑤緩沖區溢出

⑥拒絕服務

（2）CGI的安全性

CGI：公共網關接口。

它在Web服務器上定義了Web客戶請求與應答的一種方式，是外部擴展應用程序與WWW服務器交互的一個標準接口

CGI的安全性

– Web服務器的安全

– CGI語言的安全

CGI的安全問題

①暴露敏感或不敏感信息。

②缺省提供的某些正常服務未關閉。

③利用某些服務的漏洞執行命令。

④應用程序存在遠程溢出。

⑤非通用CGI程序的編程漏洞。

常見漏洞

①配置錯誤

安裝完CGI程序后沒有刪除安裝腳本，這樣攻擊者就可能遠程重置數據

②邊界條件錯誤

C語言編寫的CGI

③訪問驗證錯誤

安全的驗證：賬號和密碼，Session認證

不安全的驗證：Userid ，Cookie

④來源驗證錯誤

利用CGI程序沒有對文章的來源進行驗證，從而不間斷的發文章，最后導致服務器硬盤充滿而掛起。

⑤異常情況處理失敗

沒有檢查文件是否存在就直接打開設備文件導致拒絕服務；沒有檢查文件是否存在就打開文件提取內容進行比較而繞過驗證。

⑥策略錯誤

原始密碼生成機制脆弱導致窮舉密碼導致在Cookie中明文存放賬號密碼導致敏感信息泄露；使用與CGI程序不同的擴展名擴展名存儲敏感信息導致該文件被直接下載；丟失密碼模塊在確認用戶身份之后直接讓用戶修改密碼而不是把密碼發到用戶的注冊信箱；登錄時采用賬號和加密后的密碼進行認證導致攻擊者不需要知道用戶的原始密碼就能夠登錄。

（3）ASP及IIS的安全性（案例法）

①泄漏ASP源代碼

ASPSamp/Samples/code.asp

code.asp  source=/directory/file.asp

②Access MDB數據庫有可能被下載的漏洞

http://url//book.mdb

③利用FileSystemObject操作文件

IIS3、IIS4，FAT/NTFS

④asp程序密碼驗證漏洞

sql=“select * from user where username =”& username & “and pass=“&  pass

⑤在輸入中嵌入語句

<a  herf=”http://someurl”  onMouseover=”while(1){window.close('/')}”>請看這里

</a>

⑥Index  Server服務漏洞ASP源程序

http://someurl/null.htw?CiWebHitsFile=/default.asp%20&CiRestriction=none&CiHiliteType=Full

⑦NT  Index  Server存在返回上級目錄的漏洞

http://somerul/iissamples/issamples/oop/qfullhit.dll?CiWebHitsFile=/../../winnt/system32/logfiles/w3svc1/ex000121.log&CiRestriction=none&CiHiliteType=Full

http://url/default.htm%20.htwCiWebHitsFile=/../../winnt/system32/logfiles/w3svc1/ex000121.log&CiRestriction=none&CiHiliteType=Full

（4）練習與思考：設計Web安全方案（啟發引導法）

問題1：簡述網站的常見攻擊方式有哪些？

問題2：假如你現在要攻陷一個UNIX + CGI + Perl的網站，請描述一下你的初步想法、攻擊步驟和策略。

3、本節內容小結（歸納總結法）

（1）內容的回顧

①介紹Web服務器常見漏洞

②CGI的安全性

③ASP及IIS的安全性

（2）重點、難點問題的強調

重點：ASP及IIS的安全性。

難點：防止HTML或JavaScript改變輸出結果。

（3）典型問題的解決方法說明

七、         課后分析

本次課所使用的五種教學方法的反思，如針對不同類型的知識（概念、原理等）是否采用了相應的方法，以及教學方法與教學目標的適合性，可以反思學生的學習行為得失，反思教學目標的達成情況；從教學進行的步驟看，可以反思教學的導入，教學各環節的銜接；從教學內容看，可以反思教學目標設置的合適性，教材內容重點、難點的處理是否得當。