Web安全实验：Juyere安全程序攻击实验指南.pdfVIP

模块VWeb安全实践

实验5Juyere安全程序实验（6学时）

实验目的

1深入了解影响Web安全的因素；

2并掌握Web的原理；

3掌握基本的Web安全程序设计方法。

实验平台

Juyere平台概述：

Juyere是根据国外一个安全测试Web应用为避免一些Copyright问题衍

生开来的一个Java版本的平台，目前该应用的topic大体保持与原设计一

致。目前Juyere平台基本完善，可以直接在Juyere进行实验。

Juyere是运行在java平台下的一个web安全实验平台。Juyere实验平台的

web应用服务器实现了基本的HTTP服务器，简单的数据,自己的网页模

板语言GTL。

Juyere实验平台的的blog，具有如下功能:

-text文本片段(snippets)发布

-上传各类文件(file)

-文本片段可以使用HTML语句的一个子集

-管理员可以通过web接口管理系统

-可以自己创建用户

-可手动使用AJAX更新主页信息

Juyere实验平台包括收下几种常见的web安全类型

-cross-sitescriptingvulnerabilities(XSS)

-cross-siterequestforgery(XSRF)

-denial-of-service(DoS)

-Client-StateManipulation

-informationdisclosure

-remotecodeexecution

-Configurationvulnerabilities

-AJAXvulnerabilitie

Juyere实验平台具有良好的设计，拥有良好的可扩展性和性。其后续版

本能够结合一些其他的（数据库注入、缓冲区溢出等）添加攻

击点，供学生实进行验。目的是让学生在一系列的安全实践中既学会攻

击的一般方法，又提高安全开发的意识，了解Web安全程序设计和开发的手

段。

环境部署

Juyere平台需要Java运行环境支持。

-JRE1.6.0以上版本

实验用浏览器

-推荐使用Firefox,注意将NoScript等安全插件关闭；

-若使用Chrome,运行时请加入--disable-xss-auditor参数，关闭xss

检测。在windows下，将Chrome快捷方式的路径后添加--disable-xss-auditor

选项，如:

C:\DocumentsandSettings\USERNAME\LocalSettings\Application

Data\\Chrome\Application\chrome.exe--disable-xss-auditor

-因实验需要，不推荐使用IE浏览器。

-使用推荐的浏览器可以保证实验的效果。

运行使用

-解压，假设解压到D:\juyere目录下,目录内容如下:

│juyere.jar//实验平台web应用服务器程序