Web攻防基础—教案17 .docx

《网络安全技术实践教程》

教案

授课单位：

授课时间：

授课班级：

授课教师：

年月日

PAGE1

教案17

（第17号/17号）

课程名称

网络安全

授课日期、节次

班级

课堂类型

理论+实践

地点

章节（任务）名称

任务7.5请求伪造漏洞任务7.6XXE漏洞

教学目标

知识目标

1.掌握CSRF攻击原理、SSRF攻击原理。

2.掌握XXEWeb实体注入原理。

能力目标

1.能够构造恶意链接，利用CSRF漏洞进行非法操作。

2.能够构造恶意XML文档，利用DTD引入外部实体，实现本地文件读取等操作。

素质目标

1.培养学生精益求精的工匠精神。

2.培养学生树立牢固的法治观念，提升网络安全意识。

学情分析

授课对象：计算机网络技术专业学生，包括中职与普高混合班。学生特点：计算机网络技术专业学生，基础知识存在差异，需针对性讲解与实践操作结合。

学习习惯：偏爱实践性强的课程，理论学习兴趣较低。乐于通过案例和互动式教学理解知识点。

重难点

分析

教学重点

CSRF漏洞的利用与防范。

SSRF漏洞的攻击示例。

教学难点

1.SSRF攻击防范。

2.XXE漏洞示例。

信息化应用方法

通过课件、视频、案例分析、互动提问等多种信息化方式，借助学习通平台发布学习资源和任务，学生自主学习并完成任务。

课程思政元素

1.网络安全事关国家安全，培养学生的家国情怀与责任感。

2.树立服务意识，塑造职业精神，使学生形成运用所学专业知识为社会贡献的责任感。

3.锻炼学生实事求是的工作态度，培养学生严谨细致的工作作风、精益求精的工匠精神。

教学实施过程

课前：

平台发布Web攻防基础任务3任务4学习任务，学生预习。

课中：

导入新课

小林发现校园某个Web网站存在请求伪造漏洞风险，可以利用受害者尚未失效的身份认证信息，在受害人不知情的情况下以受害者的身份向服务器发送请求，从而完成非法操作。小林经过检查，虽然请求伪造造成的影响相对较小，属于低风险漏洞，但渗透测试时也应该对其进行仔细检测，并提出完善的防范建议。

任务五知识点讲解

1.CSRF漏洞的概念

跨站请求伪造（Cross-SiteRequestForgery，CSRF）是指攻击者在用户已经登录目标网站之后，诱使用户访问一个攻击页面，利用目标网站对用户的信任，以用户身份在攻击页面对目标网站发起伪造用户操作的请求，达到攻击目的。

可以这么理解CSRF攻击：攻击者盗用了你的身份，以你的名义发送恶意请求。CSRF能够做的事情包括以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账等等，造成的问题包括个人隐私泄露以及财产安全。

2.CSRF的原理

图7-34简单阐述了CSRF攻击的思想。

图7-34CSRF攻击过程

CSRF攻击原理及过程如下。

(1)用户C打开浏览器，访问受信任网站A，输入用户名和密码请求登录网站A。

(2)在用户信息通过验证后，网站A产生Cookie信息并返回给浏览器，此时用户登录网站A成功，可以正常发送请求到网站A。

(3)用户未退出网站A之前，在同一浏览器中，打开一个TAB页访问网站B。

(4)网站B接收到用户请求后，返回一些攻击性代码，并发出一个请求要求访问第三方站点A。

(5)浏览器在接收到这些攻击性代码后，根据网站B的请求，在用户不知情的情况下携带Cookie信息，向网站A发出请求。网站A并不知道该请求其实是由B发起的，所以会根据用户C的Cookie信息以C的权限处理该请求，导致来自网站B的恶意代码被执行。

3.SSRF漏洞的概念及形成原因

服务器端请求伪造（Server-SideRequestForgery，SSRF）是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。SSRF形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能，且没有对目标地址做过滤与限制。例如，从指定URL地址获取网页文本内容，加载指定地址的图片、文档等。

4.SSRF攻击方式

SSRF（Server-SideRequestForgery）攻击方式主要包括：

(1)可以对外网、服务器所在内网、本地进行端口扫描，获取一些服务的banner信息。

(2)攻击运行在内网或本地的应用程序（如溢出）。

(3)对内网Web应用进行指纹识别，通过访问默认文件实现。

(4)攻击内外网的Web应用，主要是使用get参数就可以实现的攻击（比如struts2，sqli等）。

(5)利用file协议读取本地文件等。

5.