密码学课设答案.docx

1、密码学课设答案北京信息科技大学信息管理学院信息系统安全基础实验报告课程名称 信息系统安全基础 实验项目 密码学应用、网络渗透攻击 学 院 信息管理学院 专 业 信息管理 班级/学号 学生姓名 成 绩 指导教师 高娜娜 实验一 密码学基础一、实验目的： 理解对称密码算法和非对称密码算法的基本思想 掌握RSA算法的基本原理 理解体会加密算法在实际中的应用 一、 实验内容： 运行RSA演示软件 掌握RSA产生公钥和私钥的方法； 掌握和验证RSA的加密、解密过程； 二、 实验环境 RSA演示软件三、 实验过程实验二 Web漏洞扫描工具的使用一、 实验目的： 了解常见的Web网站漏洞及相应的攻击技术 掌

2、握用AWVS进行Web漏洞探测的方法，并能分析结果二、 实验内容： 网站目录结构探测 网站的Web漏洞扫描三、 实验环境 Windows Server 2003 shop靶机四、 实验过程1. 运行AWVS安装程序，安装到系统默认路径下。2. 对shop靶机进行扫描。3. 多扫几个站，分析扫描报告。实验三 SQL注入工具使用一、 实验目的： 理解SQL注入原理 理解SQL注入的危害及防范它的必要性二、 实验内容： 对shop靶机进行手工SQL注入 使用啊D注入工具对shop靶机进行注入攻击 使用sqlmap对shop靶机进行注入攻击 提出防范SQL注入的办法三、 实验环境 Windows Se

3、rver 2003 shop靶机四、实验过程1. 五实验截图1.SQL手工注入判断是否存在注入点：存在可用注入点存在可用注入点不存在可用注入点判断admin表是否存在Admin表存在判断字段 password 是否存在字段password存在检测密码的长度正常错误查询密码的第一位数的ASCII码http:*/shop/productshopxp.asp?id=485? and (select top 1 asc(mid(password,1,1) from admin)54 错误http:*/shop/productshopxp.asp?id=485? and (select top 1 as

4、c(mid(password,1,1) from admin)55 错误2. 使用啊D注入工具对shop靶机进行注入攻击，获得后台管理入口，以及用户和密码的数据表。靶机网页：用啊D注入工具检测网页注入点：获取用户和密码的数据表：进入后台管理入口登陆用户界面登陆成功提出防范SQL注入的方法答：1.限制用户输入特殊字符2在设计与数据库链接并访问数据时，在需要填入数值或数据的地方，使用参数来给值，用或？来表示参数。实验四 利用上传漏洞获取Webshell一、 实验目的： 理解上传漏洞产生原因 理解上传验证绕过原理二、 实验内容： 文件内容检测绕过 0x00 截断绕过 上传一句话木马到shop靶机 提

5、出防范的办法三、 实验环境 Windows Server 2003 shop靶机 Burp suite四、实验过程 1. 生成一句话木马。2判断shop靶机的验证绕过机制。3. 将一句话木马和图片合成。4. 上传一句话木马，0x00 截断绕过。5. 菜刀连接，获得webshell，下载数据库。6. 思考防御方法。实验截图：1.复制qq.png到C盘根目录并创建一句话木马：2.修改靶机代理服务器3.cmd4. 上传一句话木马，0x00截断绕过5. 菜刀连接防御方法：1.对用户上传的文件格式和文件路径进行严格的审查。2.在系统维护阶段采取严格措施，定期查看系统日志，定时查看第三方插件的更新状况，如

6、果第三方插件被曝有安全漏洞应当立即进行修补。3.对上传文件的过程进行严格的检测，通过部署安全设备来进行防御。实验五 CSRF和XSS攻击一、 实验目的： 理解CSRF和XSS攻击原理 了解CSRF和XSS攻击方法 区别CSRF和XSS攻击 熟悉DVWA渗透测试平台二、 实验内容： Phpstudy安装 DVWA渗透测试平台安装 CSRF和XSS攻击 提出防范的办法三、 实验环境： Phpstudy DVWA渗透测试平台四、 实验过程：1、安装phpstudy；2、安装DWVA；3、进入DVWA，选择low级别，利用CSRF攻击更改管理员密码，默认的管理员密码是password。4、 XSS存储

7、式漏洞攻击。5、 XSS反射式漏洞攻击。6、 思考CSRF防御方法。7、 思考XSS防御方法。 1.安装phpstudy2.重置密码3.解压缩DVWA4.访问http:/localhost/DVWA-1.9/setup.php5.将password改为步骤二中自己重置的密码6.再次重建数据库7. 进入链接 http:/localhost/DVWA-1.9/login.php8.将级别改为low，运用CSRF修改本机管理员密码9.登陆修改后的链接地址http:/localhost/DVWA-1.9/vulnerabilities/csrf/?password_new=666&password_conf=666&Change=Change登陆成功10. 将老师所给的acceptcookie拷贝到www文件夹下11.运用xss存储方式窃取本机cookie12.将级别改为low，跳转至XX界面13.获得访问所有网站的漏洞cookie