Web 应用程序的攻击.docVIP

《网络攻防对抗》 实验报告 实验名称 Web 应用程序的攻击 实验类型： 验证性 指导教师： 专业班级： 姓 名： 学 号： 实验地点： 东六E307 实验日期： 2016/12/3 实验目的 本实验通过对一个 Web 应用程序——动网 BBS 6.0——中上传漏洞的应用， 了解和体会针对Web 应用程序的攻击过程，从而理解针对 Web 应用程序攻击的目的和基本过程。动网 BBS 6.0 是用 asp 语言写的一个 Web 应用程序，本次实验中采用的版本使用了 Access2000 文件型数据库。 实验内容 动网 BBS 6.0 应用服务的安装 在电脑上配置iis服务 在iis管理器中添加自己要攻击的网站，并配置参数 如果成功能够打开localhost网址 打开所给的桂林老兵上传软件并设置提交地址和上传的木马文件 上传成功后访问木马文件 提权 实验思考 上传漏洞攻击完成后，攻击者能做哪些事情？ 攻击成功以后，可以获得用户数据，更改用户数据，但是不能删除数据，可以获得用户信息及服务器主机信息等。2、如何抵御上传漏洞攻击？ 从源代码根本解决问题：对上传文件内容进行检测，过滤，只运行上传合法的文件（动易新版本的做法：几乎所有通过表单提交的数据，分字符型和数字型，分别用一个专门的函数进行处理。只要是提交的数据包含非法字符，或者被替换为安全字符，或者提交的数据被替换为默认值。）这是人家已经做了的，所以肯定是可行的；对上传目录做权限设置：尤其要注意脚本安全，取消脚本的可执行权限和浏览权限（比如动网论坛除了根目录以外，其它所有目录都只给读取权限即可，关闭执行权限）这个方法也是实际中运用了的，所以也是一个实际解决问题的方法；另外的方法还有对非上传目录取消写权限和浏览权限，在IIS的运用程序配置中，删除不需要的程序映射等。 实验结论 本实验通过对一个 Web 应用程序——动网 BBS 6.0——中上传漏洞的应用， 了解和体会针了对Web 应用程序的攻击过程，从而理解了针对 Web 应用程序攻击的目的和基本过程。通过这次实验虽然学习的是攻击方法，但是我深刻体会到保障网络安全的重要性和缜密性。