密码学课设答案.docx
《密码学课设答案.docx》由会员分享,可在线阅读,更多相关《密码学课设答案.docx(37页珍藏版)》请在冰豆网上搜索。
![密码学课设答案.docx](https://file1.bdocx.com/fileroot1/2023-1/9/1bfb0e62-59b6-4395-b842-3dbbd20eb331/1bfb0e62-59b6-4395-b842-3dbbd20eb3311.gif)
密码学课设答案
北京信息科技大学
信息管理学院
信息系统安全基础实验报告
课程名称信息系统安全基础
实验项目密码学应用、网络渗透攻击
学院信息管理学院
专业信息管理
班级/学号
学生姓名
成绩
指导教师高娜娜
实验一密码学基础
一、实验目的:
●理解对称密码算法和非对称密码算法的基本思想
●掌握RSA算法的基本原理
●理解体会加密算法在实际中的应用
一、实验内容:
●运行RSA演示软件
●掌握RSA产生公钥和私钥的方法;
●掌握和验证RSA的加密、解密过程;
二、实验环境
●RSA演示软件
三、实验过程
实验二Web漏洞扫描工具的使用
一、实验目的:
●了解常见的Web网站漏洞及相应的攻击技术
●掌握用AWVS进行Web漏洞探测的方法,并能分析结果
二、实验内容:
●网站目录结构探测
●网站的Web漏洞扫描
三、实验环境
●WindowsServer2003
●shop靶机
四、实验过程
1.运行AWVS安装程序,安装到系统默认路径下。
2.对shop靶机进行扫描。
3.多扫几个站,分析扫描报告。
实验三SQL注入工具使用
一、实验目的:
●理解SQL注入原理
●理解SQL注入的危害及防范它的必要性
二、实验内容:
●对shop靶机进行手工SQL注入
●使用啊D注入工具对shop靶机进行注入攻击
●使用sqlmap对shop靶机进行注入攻击
●提出防范SQL注入的办法
三、实验环境
●WindowsServer2003
●shop靶机
四、实验过程
1.
五.实验截图
1.SQL手工注入
判断是否存在注入点:
存在可用注入点
存在可用注入点
不存在可用注入点
判断admin表是否存在
Admin表存在
判断字段password是否存在
字段password存在
检测密码的长度
正常
错误
查询密码的第一位数的ASCII码
http:
***/shop/productshopxp.asp?
id=485?
and(selecttop1asc(mid(password,1,1))fromadmin)>54错误
http:
***/shop/productshopxp.asp?
id=485?
and(selecttop1asc(mid(password,1,1))fromadmin)>55错误
2.使用啊D注入工具对shop靶机进行注入攻击,获得后台管理入口,以及用户和密码的数据表。
靶机网页:
用啊D注入工具检测网页注入点:
获取用户和密码的数据表:
进入后台管理入口
登陆用户界面
登陆成功
提出防范SQL注入的方法
答:
1.限制用户输入特殊字符
2.在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数来给值,用@或?
来表示参数。
实验四利用上传漏洞获取Webshell
一、实验目的:
●理解上传漏洞产生原因
●理解上传验证绕过原理
二、实验内容:
●文件内容检测绕过
●0x00截断绕过
●上传一句话木马到shop靶机
●提出防范的办法
三、实验环境
●WindowsServer2003
●shop靶机
●Burpsuite
四、实验过程
1.生成一句话木马。
2.判断shop靶机的验证绕过机制。
3.将一句话木马和图片合成。
4.上传一句话木马,0x00截断绕过。
5.菜刀连接,获得webshell,下载数据库。
6.思考防御方法。
实验截图:
1.复制qq.png到C盘根目录并创建一句话木马:
2.修改靶机代理服务器
3.cmd
4.上传一句话木马,0x00截断绕过
5.菜刀连接
防御方法:
1.对用户上传的文件格式和文件路径进行严格的审查。
2.在系统维护阶段采取严格措施,定期查看系统日志,定时查看第三方插件的更新状况,如果第三方插件被曝有安全漏洞应当立即进行修补。
3.对上传文件的过程进行严格的检测,,通过部署安全设备来进行防御。
实验五CSRF和XSS攻击
一、实验目的:
●理解CSRF和XSS攻击原理
●了解CSRF和XSS攻击方法
●区别CSRF和XSS攻击
●熟悉DVWA渗透测试平台
二、实验内容:
●Phpstudy安装
●DVWA渗透测试平台安装
●CSRF和XSS攻击
●提出防范的办法
三、实验环境:
●Phpstudy
●DVWA渗透测试平台
四、实验过程:
1、安装phpstudy;
2、安装DWVA;
3、进入DVWA,选择low级别,利用CSRF攻击更改管理员密码,默认的管理员密码是password。
4、XSS存储式漏洞攻击。
5、XSS反射式漏洞攻击。
6、思考CSRF防御方法。
7、思考XSS防御方法。
1.安装phpstudy
2.重置密码
3.解压缩DVWA
4.访问http:
//localhost/DVWA-1.9/setup.php
5.将password改为步骤二中自己重置的密码
6.再次重建数据库
7.进入链接http:
//localhost/DVWA-1.9/login.php
8.将级别改为low,运用CSRF修改本机管理员密码
9.登陆修改后的链接地址
http:
//localhost/DVWA-1.9/vulnerabilities/csrf/?
password_new=666&password_conf=666&Change=Change
登陆成功
10.将老师所给的acceptcookie拷贝到www文件夹下
11.运用xss存储方式窃取本机cookie
12.将级别改为low,跳转至XX界面
13.获得访问所有网站的漏洞cookie