图2假冒网站检测
2.3SQL注入攻击及防御
随着B/S模式应用开发的流行,使用这种模式编写应用程序的程序员也越来越多。但由于程序员的水平及经验参差不齐,很多程序员在编写表单代码的时候,将用户输入的内容直接用来构造动态SQL命令或作为存储过程的输入参数,攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令这就是SQL注入攻击[7]。表面看SQL注入跟一般的Web页面访问没什么区别,一般防火墙也不会对SQL注入发出警报,故而网站被入侵很久也可能不会被发觉。据调查,国内采用ASP+Access或SQLServer数据库的网站占70%以上。
第八组的同学在虚拟机上搭建一套采用ASP+Access数据库的留言板网络应用,其首页地址为:http:〃192.168.80.128:8181/bbs/index.asp,公告链接为:http:〃192.168.80.128:8181/bbs/gshow.asp?id=1,通过在id参数后面加上andexists(select*frommsysobjects),构成完整的SQL注入测试语句:
http://192.168.80.128:8181/bbs/gshow.asp?id=1andexists(select*frommsysobjects)。服务器返回的结果如图3所示,从而确定该网站存在SQL注入漏洞,且后台采用的是Access数据库。
模拟实验后,他们将SQL注入技术应用于互联网真实环境,探测有SQL注入漏洞的网站。通过百度探测采用ASP搭建的网站,搜索语句为〃inurl:asp?id=site:com”扫描到有注入点的网站,通过SQL注入查看到了某网站的数据库、表、字段等内容,获得系统管理员账号admin及其口令的MD5值,通过在MD5解密网站上解密后,成功登陆该网站后台管理系统,如图4所示。
SQL注入是危害Web安全的主要攻击手段,存在SQL注入漏洞的网站一旦被攻击成功后,产生的后果可能是毁灭性的,如:1)非法越权操作数据库内容;2随意篡改网页内容;3添加系统账户或者数据库账户;4)安装木马后门;5)本地溢出获得服务器最高权限。在成功演示SQL注入漏洞后,第八组同学联系该网站系统管理员,善意提出阻塞SQL注入漏洞的建议,该网站网管员向他们表示了衷心的谢意。
3结束语
《网络攻击与防御》课程是信息安全专业的核心课程,通过该门课程的学习,使学生掌握网络安全技术研究的内容以及网络安全应用领域的相关基本知识和实践技能,为从事网络安全的应用、管理等岗位工作奠定坚实的基础。该门课程能使学生具备胜任企业网络安全管理、系统维护、网络安全防御等相关专业技术岗位的工作,为学生通过计算机网络管理员等技能证书的考核起到良好的支撑作用。在实践教学环节中以"情境教学〃为主线,将教、学、做有机结合在一起。通过本课程的学习,有效培养学生的实际动手能力、自主学习、分析问题、解决问题的能力,同时也能培养学生团队协作和组织能力,使学生具备良好的职业素养。
网络攻击者和防御者之间的博弈是信息安全领域的永恒话题[8]。丨了技术的持续发展演变使得信息安全形势也随之动态变化,并给信息安全的教学带来了新的挑战,采用攻防角色分组的情境教学方式是我们一次有益的尝试。
参考文献:
[1]张玉清等.网络攻击与防御技术[M].北京:清华大学出版社,2011.
[2]沈昌祥.加强信息安全学科、专业建设和人才培养J].计算机教育,2007,(10):6.
[3]国家计算机网络应急技术处理协调中心.2011年中国互联网网络安全报告[EB/OL]2012-05-23. [4]ChengChen,KuiWu,VenkateshSrinivasan,XudongZhang.BattlingtheInternetWaterArmy:DetectionofHiddenPaidPosters[EB/OL].2011-11-12.
[5]张敏钰.钓鱼网站简介[J].保密科学技术,2011,(06):72-75.
[6]张加龙.一种检测鉴别假冒网页的方法[D].北京:吉林大学,2008.
[7]练坤梅,许静,田伟,张莹.SQL注入漏洞多等级检测方法研究[J].计算机科学与探索,2011,(05):474-480.
[8]顾纯祥,徐洪,郑永辉.信息安全专业实践教学方法探讨[C].2011年全国密码学与信息安全教学研讨会,2011.224-226.
期刊库(http://www.zgqkk.com),是一个专门从事期刊推广、投稿辅导的网站。
本站提供如何投稿辅导,寻求投稿辅导合作,快速投稿辅导,投稿辅导格式指导等解决方案:省级投稿辅导/国家级投稿辅导/核心期刊投稿辅导//职称投稿辅导。
【免责声明】本文仅代表作者本人观点,与投稿辅导_期刊发表_中国期刊库专业期刊网站无关。投稿辅导_期刊发表_中国期刊库专业期刊网站站对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。
646779424(普刊)
913775405(普刊)
867306987(核心)
271374912(核心)
