Web安全漏洞仿真实验项目设计.docx

Web安全漏洞仿真实验项目设计

马文静吴建军周家庆

摘要：Web安全漏洞是网络安全的主要的威胁之一，网络空间安全专业实验不同于普通实验，安全测试实验不允许在真实网络环境中实施。因此，本文作者通过虚拟仿真项目构建了“真实”的漏洞场景，Docker容器虚拟化技术为仿真提供了低成本、高效率的实验环境，在实验平台的综合协调下，实现了Web安全漏洞实验的线上共享开放教学。项目体现了网络空间安全的特色，符合虚拟仿真项目建设要求。

中图分类号：G434?文献标识码：A?论文编号：1674-2117（2021）08-0101-04

“Web安全基础”是网络空间安全专业的主要专业课程之一，该课程配套的Web安全漏洞实验教学，将Web安全领域典型安全漏洞的渗透测试和对应防御安全威胁的安全开发能力培养相结合，让学生既具有一定的Web安全渗透测试能力，也具有较好的Web软件安全开发能力，体现了本专业的人才培养特色。

网络安全漏洞实验，本身就带有安全漏洞的测试靶机，它们不适合部署在常规的Web服务器容器中。在常规服务器部署安全漏洞靶机，会因渗透实验过程而使整个服务器被攻击利用，无法实现正常的实验教学，一般只适合在用户本地机器进行实验测试。“根据实验教学计划和实际情况，本着‘能实不虚的原则加大虚拟仿真实验教学项目建设力度，探索线上线下教学相结合的新型实验教学模式。”[1]Web安全漏洞仿真实验，基于虚拟仿真实验建设的文件精神，遵循“虚实结合，能实不虚，开放共享”的原则，将“Web安全漏洞实验”通过虚拟化容器管理模式，实现漏洞实验的安全测试，实现了实验教學的过程化管理。它明显优于传统的实验靶机分散本地测试模式，较完善地达到了课程教学目标。

●Web安全漏洞仿真实验平台建设目标

本项目基于Web安全漏洞靶机，以Docker容器虚拟化技术进行部署，在本项目框架平台中实现统一管理和自动测评。部署本项目后，教师可以统一管理实验，学生按相关任务完成并提交实验结果，系统自动给予操作评价，并指出错误原因。

基于Docker容器虚拟化技术的仿真实验系统，每个学生的实验环境都是独立的，不会因为渗透测试行为而使相互之间的实验受到影响;每个学生的实验环境都是封闭的，测试行为不会对部署本项目平台的服务器产生安全影响;每个学生的实验行为和结果都实现了过程化管理，能满足线上线下混合式教学需求。通过实验，主要学习和验证跨站点脚本攻击（XSS）、命令执行漏洞、CSRF跨站请求伪造、SQL注入、AuthenticationFlaws认证缺陷、AccessControlFlaws访问控制缺陷等Web安全漏洞。平台能实现Web安全漏洞仿真实验的有效组织与评价，记录、分析学生的实验学习过程，可全面提交、汇总整个课程实验教学的综合评价结果。

●仿真实验原理

Web安全漏洞仿真实验不同于传统的计算机软件开发类实验，它首先需要满足安全漏洞靶机在服务器上的安全部署，其次需要解决不同学生的独立实验环境，最后还需要有一个统一的管理平台。为此，该项目由Docker容器虚拟化技术、实验平台与靶机即时信息交互技术，以及实验管理系统三部分组成。

1.Docker容器虚拟化技术

基于Docker容器虚拟化技术，为每个学生构建封闭、独立的实验环境。容器可以按需要构建或销毁，独立的实验环境确保提供自主学习过程。

如图1所示，与传统的主机虚拟化技术相比，Docker具有更高的资源利用率、更低的资源需求、更快的速度、简单的管理。Docker容器虚拟化技术，在完成预设的Image构建后，启动Image，将Docker容器的端口映射到服务器主机端口，使用DockerRun命令执行启动、运行、停止等操作。[2]可以在实验平台管理下快速生成（数秒级）靶机容器，也可以快速销毁容器，可控的Docker容器降低了实验成本，满足了相关的实验要求，并且确保了实验环境的安全性问题不易被带到实际环境中。

本项目基于Docker容器虚拟化技术较好地解决了Web安全漏洞靶机不允许在常规服务器部署、Web安全漏洞禁止在真实网站测试、安全漏洞测试如何反复重现实验等多个矛盾，体现了虚拟仿真的意义。

2.实验平台与靶机信息交互

实验平台在每个学生的实验过程中，即时访问靶机容器，获取实验数据，这是本系统的关键环节。Docker容器运行后，以Web程序方式提供学生实验操作环境，学生的漏洞测试过程通过Web界面操作并提交给Docker容器。Docker容器的Web程序与实验平台（也是一个Web程序）分属不同的Web域，本系统通过学生实验过程中的凭据提交、后台请求响应的方法实现实验数据的获取。

（1）学生开始实验，将本次实验的身份凭据提交给实验平台。

（2）实验平台获得凭据后，实现后台访问Docker容器的Web程序权限，并按需要，随时访问、