《信息安全技术》实验报告书实验名称:实验一Internet应用风险专业:电子商务班级:1203班姓名:代常发学号:20124934指导老师:丁雷信息工程学院2015 年 5 月目录一、实验目的 (3)二、实验内容 (3)三、实验要求 (3)四、实验准备 (4)五、实验原理、方法和手段 (4)六、实验条件 (4)七、实验步骤 (4)任务一、恶意网页 (4)任务二、WEB服务器安全 (10)八、总结 (19)实验一Internet应用风险一、实验目的掌握IE浏览器的有关Cookie、Java、ActiveX等技术相关安全配置了解IE浏览器的安全漏洞了解Web服务器存在的安全问题掌握设置IIS服务器用户身份验证的方法掌握设置IIS服务器IP和域名限制的方法掌握更改通信端口的方法掌握使用SSL技术保证IIS服务器通信安全的方法了解FTP服务器存在的安全隐患掌握增强FTP服务器安全性的配置方法二、实验内容1. WEB客户端安全性配置Internet上存在的WEB服务五花八门,真假难辨,鱼龙混杂。
用户常在访问了某些恶意网页后,造成WEB客户端被劫持的现象。
一般情况下可以通过提高WEB客户端的安全性来防止恶意网页的干扰。
2. WEB服务器的安全性配置Internet上存在大量的WEB服务器,但是有为数不少的WEB服务器本身存在很多的安全隐患,而这些隐患大多又是由于WEB服务器的配置不当造成的,往往给WEB服务器造成一定的危害。
为了提高WEB服务器的安全性,可以对WEB服务器进行一些安全性配置或者利用其它的工具来实现(如SSL等)。
三、实验要求采用以学生自主训练为主的开放模式组织教学四、实验准备浏览器安全简介,网页病毒五、实验原理、方法和手段所有主机使用【快照】将虚拟机恢复到初始状态。
本实验2人1组,以主机A、主机B为例。
任务一中主机A、主机B既是Web服务器端,又是Web客户端,每个实验主机的操作都是对等的。
任务二中主机A为Web服务器,主机B为Web客户端。
六、实验条件电子商务技术实验教学平台七、实验步骤任务一、恶意网页1.主机A、B分别启动IE浏览器,并相互访问对方的trouble.html页面,具体为:在地址栏中输入http://同组对方的IP地址/trouble.html。
2.访问成功后,会10次打开访问www.xxx12页面的窗口。
3.主机A、B关闭所有IE窗口。
4.主机A、B再次打开IE浏览器,浏览器会自动访问网页,如下图所示,这说明IE的默认网页被更改。
图1 IE浏览器默认主页被篡改5. 在打开的IE中,选择其“工具”菜单中的“Internet 选项”,在弹出的“Internet 选项”对话框中,可知IE主页被设置为“”,并且将IE主页相关设置置灰,从而不能再更改主页,如下图所示:图2 IE浏览器默认主页配置项被禁用6. 由如上现象可以发现,用户的IE浏览器被劫持,具体表现为:默认首页被修改、默认首页禁止修改、恶意窗口弹出和自动网站访问等。
由此可以推断出,用户可能不经意间访问了某恶意网页。
7.恢复浏览器默认配置,清除恶意网页影响。
(1) 恢复IE默认首页的可修改性。
单击“开始->运行”菜单项,弹出“运行”对话框,在“运行”对话框中输入“regedit”,打开注册表编辑器,将本地注册表的键HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\HomePage的值由1置为0,从而可对IE主页进行更改。
(2)恢复IE默认首页为空白页单击“Internet 属性”对话框的“使用空白页”按钮,恢复IE默认主页为空白页。
8.IE浏览器增强安全性配置,防范恶意网页感染。
方法1:点击“工具->Internet选项”,在弹出的对话框中选择“安全”标签,再点击“默认级别”按钮,移动滑块设置该区域的安全级别为:高;方法2:点击“工具->Internet选项”,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。
经过上面的设置,将ActiveX插件和控件、Java脚本等全部禁止,这样就可以大大减少被网页恶意代码感染的几率。
9. IE浏览器防范恶意网页安全性验证。
主机A、主机B互相访问trouble.html页面,经验证,用户IE浏览器未遭劫持,可见IE浏览器防范恶意网页的安全性配置已生效。
任务二、WEB服务器安全1. 网站的身份验证配置(1)Web用户匿名访问Web站点,测试Web网站是否可以匿名正常访问。
主机B打开IE浏览器,访问主机A的主页“http://同组主机A的IP地址”,若此时可访问主机A的主页,则说明主机A的Web网站允许匿名访问(访问成功后主机B将会看到“恭喜您,访问Web服务器成功!”的页面,HTTP协议的默认TCP端口为80)。
(2) 在主机A上,依次点击“开始->所有程序->管理工具->Internet信息服务(IIS)管理器”。
将目录展开进入到如下图所示的状态:(3) 主机A右键点击“默认网站”,选择“属性”。
如下图所示:图4 配置网站属性(4) 在“默认网站属性”对话框中,选择“目录安全性”页签,并单击“身份验证和访问控制”中的【编辑】按钮。
如下图所示:(5) 对登录用户进行身份验证的配置。
在“身份验证方法”对话框中,将对“启用匿名访问”项的选择取消,并选中“用户访问需经过身份验证”中的“集成Windows身份验证”项,如下图所示。
此时其它用户若访问主机A的网站,就必须拥有相应的帐户和口令。
图6 取消网站匿名登录并指定Windows身份验证(6) 依次单击上面对话框的【确定】按钮,完成配置。
(7) Web用户访问Web站点,测试Web网站的配置是否满足要求。
主机B重新打开IE浏览器,访问主机A的主页“http://同组主机A的IP地址”,此时会提示需输入用户名和密码。
输入用户名“student”和密码“123456”,即可访问主机A主页,访问需要一些时间才能打开网站。
如果达不到实验效果,建议关闭IE浏览器,再重新打开验证效果。
2. IP 地址限制的配置(1) 主机A 参照步骤1-(3)的方法打开“默认网站 属性”对话框,选择“目录安全性”页签,单击“IP地址和域名限制”中的【编辑】按钮,如下图所示:图7 配置网站IP地址与域名限制安全性(2) 在弹出的“IP地址和域名限制”对话框中,选中“拒绝访问”单选框,点击“添加”按钮,添加授权的主机。
如下图所示:(3) 在弹出的“授权访问”对话框中,选中“一台计算机”单选框,在“IP地址”中输入所授权访问主机的IP地址,这里输入的是主机B的IP地址(例172.16.0.12),如下图所示。
上述步骤的设置表示:仅授权主机B可以访问Web服务器,其它主机拒绝访问。
设置完IP地址后,单击“确定”按钮。
图9 授权特定主机访问WEB服务器(4) 依次单击上面对话框的【确定】按钮,完成配置。
(5) Web用户访问Web站点,测试Web网站的配置是否满足要求。
主机B访问主机A的主页“http://同组主机A的IP地址”,此时主机B是可以访问的;将主机B的IP进行修改(注意:不要和其他主机发生IP地址冲突),这时主机B再访问主机A的主页,会收到“您未被授权查看该页”的提示,这说明配置成功;测试完,将主机B的IP修改到原始的值。
3. 端口安全性的实现(1) 主机A参照步骤1-(3)的方法打开“默认网站属性”对话框,选择“网站”页签,修改“TCP端口”的值为“888”,如下图所示:图10 修改WEB服务默认TCP端口(2) 单击上面对话框的【确定】按钮,完成配置。
(3) Web用户访问Web站点,测试Web网站的配置是否满足要求。
主机B访问主机A的主页“http://同组主机A的IP地址”,此时会收到“无法显示网页”的提示,表明端口的配置成功,已不是默认的80了;主机B再次访问主机A的主页“http://同组主机A的IP地址:888”,此时主机B是可以访问的。
八、总结1. 简述Web服务器存在的常见安全问题。
答:Web服务器存在的常见安全问题有以下:1)来自服务器本身及网络环境的安全,这包括服务器系统漏洞,系统权限,网络环境(如ARP等)、网络端口管理等,这个是基础。
2)来自WEB服务器应用的安全,IIS或者Apache等,本身的配置、权限等,这个直接影响访问网站的效率和结果。
3)网站程序的安全,这可能程序漏洞,程序的权限审核,以及执行的效率,这个是WEB安全中占比例非常高的一部分。
4)WEB Server周边应用的安全,一台WEB服务器通常不是独立存在的,可能其它的应用服务器会影响到WEB服务器的安全,如数据库服务、FTP服务等。
2. 任务中用到了哪些IIS的安全机制?答:1)网站的身份验证配置;2)IP地址限制的配置;3)端口安全性的实现。
3.列举几种常用的网页浏览器,并对它们的安全相关功能进行总结。
答:360安全浏览器:保存网页密码功能会把相关帐号、密码记录在本机上。
同时在选项中,能显示出保存的帐号及密码,故请不要在公共电脑或他人的电脑上保存重要密码。
无痕浏览,彻底保护隐私任何历史记录、临时文件都不会被保留。
适合网吧、共用电脑等特殊场合。
智能拦截恶意和钓鱼网站动态识别恶意代码,实时拦截提示。
超强安全模式和沙箱技术让您放心浏览木马网站不中招。
IE浏览器:可以拦截恶意网站。
百度浏览器:百度浏览器地址栏左边会出现绿色的百度认证标识,点击此处将显示该网站在工信部的备案信息,此功能效防止钓鱼网站欺诈。
4.实验中所呈现的网页病毒是十分简单的,针对它的安全性配置也是容易的,请收集相关资料,列举出利用浏览器漏洞进行网页病毒攻击的例子以及解决的方法,并将你的研究成果与其他同学进行交流。
答:通过IE浏览器漏洞而来的攻击方式,主要是将病毒码隐藏在JPG 图形中,当使用者以IE开启浏览内含该图片的网页时,便会因为图形自动开启的动作,而被植入病毒乃至于间谍软件、后门程序等恶意源代码。
利用来在浏览器中执行恶意源代码,让网钓客传发附有仿冒网站连结的电子邮件,恶意网站的URL 位址可能昙花一现,紧接着就把使用者带到被仿冒的网站。
解决方法:主要的防毒布建仍着眼在服务器、桌面型用户端以及针对SMTP、POP3所设立的闸道端防毒,病毒将以HTTP流量趁虚而入。