信息安全实验演示经典教程.pptVIP

信息安全实验演示;实验设计理念： 随着计算机和网络技术的发展和日益普及，计算机信息的安全就日益成为系统成败的关键要素。而数据库作为信息的载体，它的安全自然就成了信息安全研究领域的一个非常重要方面。 数据库系统安全是指数据库系统建立安全措施，以保护数据库系统软件和其中的数据不因偶然和恶意的原因而遭到破坏、更改和泄露。 由于大多数Web应用程序都需要使用数据库，于是数据库就变成了最常见的攻击目标之一。;实验设计目的： 了解SQL注入的基本原理 掌握PHP脚本访问MySQL数据库的基本方法 掌握程序设计中避免出现SQL注入漏洞的基本方法 ;实验原理： 1.SQL注入攻击 2.MySQL简介 3.实施SQL注入攻击 4.PHP简介 5.使用PHP从Web访问MySQL数据库 ;1.SQL注入攻击;3.实施SQL注入攻击;4.PHP简介;5.使用PHP从Web访问MySQL数据库;实验步骤： 本练习单人为一组。实验主要包括下面四个内容： 一．PHP访问MySQL简单实例 1.创建隶属test数据库的user表 2.编写PHP脚本查询user数据库表 3.实施SQL注入 二．搜索引擎注入 1.创建隶属test数据库的file表 2.编写HTML页面 3.编写PHP脚本查询file数据库表 4.SQL注入 三．注入实现导出文件 四．通过注入提升用户权限 1.创建隶属test数据库的register表 2.注册用户 3.SQL注入提升注册用户权限;1. 创建隶属test数据库的user表 （1）启动mysql服务 在控制台中输入service mysqld start命令启动mysql服务。 （2）在控制台中输入mysql，进入mysql客户端控制台（mysql）创建user数据库表 ● 选择工作数据库test use test; ● 创建user数据库表 CREATE TABLE user(userid int(11) NOT NULL AUTO_INCREMENT, username varchar(20) NOT NULL DEFAULT , password varchar(20) NOT NULL DEFAULT , PRIMARY KEY(userid))TYPE=MyISAM AUTO_INCREMENT=3; ● 插入两条数据信息 INSERT INTO user VALUES(1, angel, mypass); INSERT INTO user VALUES(2, lblis, yourpass); ● 查看数据库表 select * from user; 查看到的信息如右图所示。;一.PHP访问MySQL简单实例;一.PHP访问MySQL简单实例;二．搜索引擎注入;二．搜索引擎注入;二．搜索引擎注入;二．搜索引擎注入;二．搜索引擎注入;???．注入实现导出文件;四．通过注入提升用户权限;2.注册用户 将/opt/ExpNIS/HostSec-Lab/Projects/step4/中的register.htm和register.php文件拷贝至/var/www/html目录下。 在Web浏览器URL地址栏中访问register.htm页面。 填写“用户名”、“用户口令”和“个人主页”信息，单击“注册”按钮注册。 如下图所示，该页是填写用户名：caoyan，用户口令：caoyan，个人主页为：http：后的信息。可以看到注册用户级别（userlevel） 3 。;四．通过注入提升用户权限;无端口后门;无端口后门;无端口后门;无端口后门;无端口后门;无端口后门;无端口后门;无端口后门;无端口后门;无端口后门;无端口后门;无端口后门;无端口后门;实验人数： 每组6人 系统环境： windows 网络环境： 企业网络结构 实验工具： Backofficer Friendly（BOF） Nmap 实验类型： 综合型;DMZ区部署蜜罐;实验设计目的： 企业环境DMZ区部署蜜罐，其价值体现在对攻击的检测和预警上，通过实验学习可以掌握在DMZ区部署检测型蜜罐的方法，了解BOF及其工作方式。 ;实验原理 1.蜜罐分类 （1）按价值体现分类： 欺骗型蜜罐、威慑型蜜罐、检测型蜜罐、研究型蜜罐 （2）按交互级别分类： 低交互度蜜罐、中交互度蜜罐、高交互度蜜罐、honeynet蜜网 2.DMZ区部署检测型蜜罐 （1）防火墙规则设置 内网可以访问外网、内网可以访问DMZ、外网不能访问内网、外