20159208 《网络攻防实践》第五周学习总结
教材学习内容总结
本周学习了教材的11章和12章。11章主要介绍了Web安全攻防技术,首先详细介绍了Web应用程序体系结构,包括浏览器、Web服务器、Web应用程序、数据库、传输协议http/https,然后针对其中每个组件介绍了相应的典型的安全威胁和攻击类型。针对Web应用的攻击渠道,包括针对Web应用的信息收集,攻击Web服务器软件,攻击Web应用程序和攻击Web数据内容。然后重点讲解了两种攻击:SQL注入和XSS跨站脚本攻击。这部分主要通过具体的例子介绍了这两类攻击的技术原理、具体的步骤和防范措施。
第12章主要介绍了Web浏览器安全攻防。本章首先介绍了Web浏览器战争,说明Web浏览器市场竞争的激烈程度,Web浏览器是目前互联网用户最常用的客户端软件,所以也就成了黑帽子黑客们经常攻击的目标。然后就介绍了相应技术的发展。通过介绍Web浏览器存在的一些安全问题和威胁,引出本章重点介绍的内容:网页木马。利用网页木马,黑帽子黑客能够利用Web浏览器和插件中的安全漏洞,在客户端主机系统上植入和运行各种旨在窃取敏感信息的恶意代码;即使没有这些漏洞,他们也会采用社会工程学欺骗技术,通过构建钓鱼网站,来诱使网民将有用价值的个人信息拱手送给攻击者。所以我们要加强浏览安全环境的防范措施。
教材学习中的问题和解决过程
利用Cookie信息假冒其他用户发表与修改帖子那段Java程序看不懂,因为没学过Java,然后上网搜索了相关资料学习了下。
视频学习中的问题和解决过程
本周视频主要学习了漏洞分析和Web应用代理的一些工具的使用。漏洞分析工具主要学习了BBQSql、DBPwAudit、HexorBase、Jsql、Oscanner、SQLdict,重点介绍了SQL相关工具,包括tnscmd10g、Sqlsus、Sqlninja、Sqlmap。视频18和19主要重点介绍了Burpsuite工具的使用。视频20介绍了模糊测试Fuzz工具,通过一些指令来说明了下其的具体使用。以下是本次视频学习中的一些截图。
漏洞分析工具的使用:
其他(感悟、思考等,可选)
通过教材和视频的学习,通过自己动手实践,学会了很多漏洞分析工具的简单使用,但是使用还不够熟练,需要进一步加强学习,计算机网络相关知识也要加强学习下。
学习进度条
40%
学习目标(本学期)
基本理解Kali的用法,掌握网络攻防基本技巧。黑客入门。
第四周进度
- 上周目标完成情况
良好 - 本周学习计划
教材第四章的学习
完成p115的实践练习
5个Kali视频学习(11-15)
第五周进度
- 教材第十一、十二章的学习
完成p457,P507的实践练习
5个Kali视频学习(16-20)