密码学课设答案.docx

密码学课设答案.docx

《密码学课设答案.docx》由会员分享，可在线阅读，更多相关《密码学课设答案.docx（37页珍藏版）》请在冰豆网上搜索。

密码学课设答案

北京信息科技大学

信息管理学院

信息系统安全基础实验报告

课程名称信息系统安全基础

实验项目密码学应用、网络渗透攻击

学院信息管理学院

专业信息管理

班级/学号

学生姓名

成绩

指导教师高娜娜

实验一密码学基础

一、实验目的：

●理解对称密码算法和非对称密码算法的基本思想

●掌握RSA算法的基本原理

●理解体会加密算法在实际中的应用

一、实验内容：

●运行RSA演示软件

●掌握RSA产生公钥和私钥的方法；

●掌握和验证RSA的加密、解密过程；

二、实验环境

●RSA演示软件

三、实验过程

实验二Web漏洞扫描工具的使用

一、实验目的：

●了解常见的Web网站漏洞及相应的攻击技术

●掌握用AWVS进行Web漏洞探测的方法，并能分析结果

二、实验内容：

●网站目录结构探测

●网站的Web漏洞扫描

三、实验环境

●WindowsServer2003

●shop靶机

四、实验过程

1.运行AWVS安装程序，安装到系统默认路径下。

2.对shop靶机进行扫描。

3.多扫几个站，分析扫描报告。

实验三SQL注入工具使用

一、实验目的：

●理解SQL注入原理

●理解SQL注入的危害及防范它的必要性

二、实验内容：

●对shop靶机进行手工SQL注入

●使用啊D注入工具对shop靶机进行注入攻击

●使用sqlmap对shop靶机进行注入攻击

●提出防范SQL注入的办法

三、实验环境

●WindowsServer2003

●shop靶机

四、实验过程

1.

五．实验截图

1.SQL手工注入

判断是否存在注入点：

存在可用注入点

存在可用注入点

不存在可用注入点

判断admin表是否存在

Admin表存在

判断字段password是否存在

字段password存在

检测密码的长度

正常

错误

查询密码的第一位数的ASCII码

http:

***/shop/productshopxp.asp?

id=485?

and（selecttop1asc（mid（password,1,1））fromadmin）>54错误

http:

***/shop/productshopxp.asp?

id=485?

and（selecttop1asc（mid（password,1,1））fromadmin）>55错误

2.使用啊D注入工具对shop靶机进行注入攻击，获得后台管理入口，以及用户和密码的数据表。

靶机网页：

用啊D注入工具检测网页注入点：

获取用户和密码的数据表：

进入后台管理入口

登陆用户界面

登陆成功

提出防范SQL注入的方法

答：

1.限制用户输入特殊字符

2．在设计与数据库链接并访问数据时，在需要填入数值或数据的地方，使用参数来给值，用@或？

来表示参数。

实验四利用上传漏洞获取Webshell

一、实验目的：

●理解上传漏洞产生原因

●理解上传验证绕过原理

二、实验内容：

●文件内容检测绕过

●0x00截断绕过

●上传一句话木马到shop靶机

●提出防范的办法

三、实验环境

●WindowsServer2003

●shop靶机

●Burpsuite

四、实验过程

1.生成一句话木马。

2．判断shop靶机的验证绕过机制。

3.将一句话木马和图片合成。

4.上传一句话木马，0x00截断绕过。

5.菜刀连接，获得webshell，下载数据库。

6.思考防御方法。

实验截图：

1.复制qq.png到C盘根目录并创建一句话木马：

2.修改靶机代理服务器

3.cmd

4.上传一句话木马，0x00截断绕过

5.菜刀连接

防御方法：

1.对用户上传的文件格式和文件路径进行严格的审查。

2.在系统维护阶段采取严格措施，定期查看系统日志，定时查看第三方插件的更新状况，如果第三方插件被曝有安全漏洞应当立即进行修补。

3.对上传文件的过程进行严格的检测，，通过部署安全设备来进行防御。

实验五CSRF和XSS攻击

一、实验目的：

●理解CSRF和XSS攻击原理

●了解CSRF和XSS攻击方法

●区别CSRF和XSS攻击

●熟悉DVWA渗透测试平台

二、实验内容：

●Phpstudy安装

●DVWA渗透测试平台安装

●CSRF和XSS攻击

●提出防范的办法

三、实验环境：

●Phpstudy

●DVWA渗透测试平台

四、实验过程：

1、安装phpstudy；

2、安装DWVA；

3、进入DVWA，选择low级别，利用CSRF攻击更改管理员密码，默认的管理员密码是password。

4、XSS存储式漏洞攻击。

5、XSS反射式漏洞攻击。

6、思考CSRF防御方法。

7、思考XSS防御方法。

1.安装phpstudy

2.重置密码

3.解压缩DVWA

4.访问http:

//localhost/DVWA-1.9/setup.php

5.将password改为步骤二中自己重置的密码

6.再次重建数据库

7.进入链接http:

//localhost/DVWA-1.9/login.php

8.将级别改为low，运用CSRF修改本机管理员密码

9.登陆修改后的链接地址

http:

//localhost/DVWA-1.9/vulnerabilities/csrf/?

password_new=666&password_conf=666&Change=Change

登陆成功

10.将老师所给的acceptcookie拷贝到www文件夹下

11.运用xss存储方式窃取本机cookie

12.将级别改为low，跳转至XX界面

13.获得访问所有网站的漏洞cookie