20159217《网络攻防实践》第五周学习总结
教材学习内容总结
本周任务主要是学习了教材十一章和十二章。
十一章是Web应用程序安全攻防。本章概括了Web应用体系结构各个层面上所面临的安全威胁,包括浏览器、web服务器、web应用程序、数据库、传输协议HTTP/HTTPS。并针对Web应用的攻击渠道,包括针对Web应用的信息收集,攻击Web服务器软件,攻击Web应用程序和攻击Web数据内容。突出介绍了两种最流行的应用程序攻击技术:SQL注入与XSS跨站脚本攻击。并结合具体实例,详细讲解了这两类攻击的技术原理、具体步骤和防范措施。
十二章是Web浏览器安全攻防。通过介绍浏览器战争与技术的发展,引出了浏览器的安全问题与威胁:复杂性、可扩展性和连通性的安全困境三要素;和Web浏览安全威胁位置,包括网络安全、系统安全、Web浏览器软件安全和用户的社会工程学安全。之后主要介绍了网页木马,利用Web浏览器和插件中的安全漏洞,在客户端的主机系统中植入和运行各种旨在窃取敏感信息的恶意代码。最后介绍了不通过安全漏洞而是利用社会工程学欺骗技术构建的钓鱼网站,来诱使网民用户将有价值的信息拱手送给攻击者。通过介绍这几种Web浏览器的安全威胁,并针对的提出了防范技术。
教材学习中的问题和解决过程
SQL注入与XSS跨站脚本攻击的技术原理有一些地方看不懂,可能是没有网页编程方面的知识,以后应该了解一些。
视频学习中的问题和解决过程
16、17
主要介绍了漏洞分析中的数据库评估,介绍了一些应对不同情况的工具,如面向Oracle、面向MySQL、面向SQL Server的工具以及针对不同功能的工具。其中比较常用的是Sqlsus,是MySQL的注入接收和管理工具;Sqlmap,功能强大的开源侦测实施SQL注入并神偷数据库服务器的工具。
18
主要介绍了Web应用代理,主要功能是分析数据包,修改数据包重放和暴力攻击。并分别介绍了六种代理工具。
19
20
主要介绍了漏洞分析中的Fuzz工具,用于模糊测试。讲解了几种常见的工具,其中比较常用的是Wfuzz用于暴力破解和Xsser用于XSS跨站脚本攻击。
第五周进度
-
教材第十一、十二章
-
视频16-20