Web安全與防護(hù) (微課版)05-3 項(xiàng)目五 安全的個(gè)人信息修改-任務(wù)三四教案_第1頁(yè)
Web安全與防護(hù) (微課版)05-3 項(xiàng)目五 安全的個(gè)人信息修改-任務(wù)三四教案_第2頁(yè)
Web安全與防護(hù) (微課版)05-3 項(xiàng)目五 安全的個(gè)人信息修改-任務(wù)三四教案_第3頁(yè)
Web安全與防護(hù) (微課版)05-3 項(xiàng)目五 安全的個(gè)人信息修改-任務(wù)三四教案_第4頁(yè)
Web安全與防護(hù) (微課版)05-3 項(xiàng)目五 安全的個(gè)人信息修改-任務(wù)三四教案_第5頁(yè)
已閱讀5頁(yè),還剩2頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

XX學(xué)院課程教案開(kāi)課學(xué)院XX學(xué)院課程名稱(chēng)WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級(jí)XXX總課時(shí)64

項(xiàng)目五任務(wù)三《跨站請(qǐng)求偽造漏洞檢測(cè)與利用》任務(wù)四《跨站請(qǐng)求偽造漏洞修復(fù)與防范》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱(chēng)跨站請(qǐng)求偽造漏洞檢測(cè)與利用、跨站請(qǐng)求偽造漏洞修復(fù)與防范授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述:檢測(cè)和利用跨站請(qǐng)求偽造漏洞、對(duì)跨站請(qǐng)求偽造漏洞進(jìn)行修復(fù)和防范。2、知識(shí)準(zhǔn)備:HTML、JavaScript、CSS前端知識(shí)及HTTP協(xié)議知識(shí)。3、任務(wù)實(shí)施:檢測(cè)和利用博客系統(tǒng)中的跨站請(qǐng)求偽造漏洞、針對(duì)博客系統(tǒng)相關(guān)功能存在的跨站請(qǐng)求偽造漏洞進(jìn)行修復(fù)和防范。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了跨站請(qǐng)求偽造漏洞原理和特點(diǎn)的知識(shí),具備了針對(duì)跨站請(qǐng)求偽造漏洞的利用檢測(cè)及修復(fù)防范的知識(shí)儲(chǔ)備,但缺乏融會(huì)貫通和綜合運(yùn)用能力,未接觸過(guò)職業(yè)工作和專(zhuān)業(yè)技能競(jìng)賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、熟悉跨站請(qǐng)求偽造漏洞的檢測(cè)方法。2、熟悉跨站請(qǐng)求偽造漏洞的利用方法。3、熟悉跨站請(qǐng)求偽造漏洞的修復(fù)防范方法能力目標(biāo)1、能夠檢測(cè)出跨站請(qǐng)求偽造漏洞。2、能夠利用跨站請(qǐng)求偽造漏洞。3、能夠?qū)崿F(xiàn)對(duì)跨站請(qǐng)求偽造漏洞的修復(fù)和防范素質(zhì)目標(biāo)1、養(yǎng)成個(gè)人敏感信息保護(hù)習(xí)慣。2、提高網(wǎng)絡(luò)安全防范意識(shí)。教學(xué)重點(diǎn)跨站請(qǐng)求偽造漏洞的檢測(cè)、跨站請(qǐng)求偽造漏洞的四種修復(fù)防范方法教學(xué)難點(diǎn)跨站請(qǐng)求偽造漏洞的利用二、教學(xué)策略教學(xué)資源在線開(kāi)放課程平臺(tái),超星課程平臺(tái),多媒體課件,理實(shí)一體化實(shí)訓(xùn)室,網(wǎng)絡(luò)教學(xué)資源。實(shí)物:教材,軟件工具包。教學(xué)方法與手段1、教學(xué)方法:案例法、講授法、自學(xué)法2、教學(xué)模式:采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn):跨站請(qǐng)求偽造漏洞的檢測(cè)、跨站請(qǐng)求偽造漏洞的四種修復(fù)防范方法措施:老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn):跨站請(qǐng)求偽造漏洞的利用措施:老師講解加演示三、教學(xué)實(shí)施第3次課(2課時(shí))課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī),組織學(xué)生座位靠前,強(qiáng)調(diào)學(xué)習(xí)紀(jì)律,點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書(shū),預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí),引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變,培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)三跨站請(qǐng)求偽造漏洞檢測(cè)與驗(yàn)證引導(dǎo)學(xué)生通過(guò)教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù):1.跨站請(qǐng)求偽造漏洞的檢測(cè)2.跨站請(qǐng)求偽造漏洞的利用任務(wù)四跨站請(qǐng)求偽造漏洞修復(fù)與防范引導(dǎo)學(xué)生通過(guò)教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù):1.同源檢測(cè)2.SamesiteCookie3.CSRFToken4.特定情況下的必要嚴(yán)重教師講授、演示。學(xué)生跟隨老師講課,加深印象,準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)任務(wù)三跨站請(qǐng)求偽造漏洞檢測(cè)與驗(yàn)證1.跨站請(qǐng)求偽造漏洞的檢測(cè)CSRF攻擊是攻擊者借助受害者的cookie騙取服務(wù)器的信任,但是攻擊者并不能拿到cookie,也看不到cookie的內(nèi)容。另外,對(duì)于服務(wù)器返回的結(jié)果,由于瀏覽器同源策略的限制,攻擊者也無(wú)法進(jìn)行解析。因此,攻擊者無(wú)法從返回的結(jié)果中得到任何東西,他所能做的就是給服務(wù)器發(fā)送請(qǐng)求,以執(zhí)行請(qǐng)求中所描述的命令,在服務(wù)器端直接改變數(shù)據(jù)的值,而非竊取服務(wù)器中的數(shù)據(jù)。2.跨站請(qǐng)求偽造漏洞的利用使用BurpSuite截獲信息,并利用CSRF漏洞,先截獲口令修改的http請(qǐng)求包,然后生成CSRFPoc,csrfHTML成功生成后,將其中的html存為一個(gè)單獨(dú)的文件,也可以做一定的迷惑、引誘性偽裝,將其上線到一個(gè)網(wǎng)頁(yè)中發(fā)送給受害者。如果受害者點(diǎn)擊該鏈接,那么他的該站密碼會(huì)修改為我們提前設(shè)置好的字符任務(wù)四跨站請(qǐng)求偽造漏洞修復(fù)與防范1.同源檢測(cè)禁止外域(或者不受信任的域名)對(duì)我們發(fā)起請(qǐng)求。在HTTP協(xié)議中,每一個(gè)異步請(qǐng)求都會(huì)攜帶兩個(gè)Header,用于標(biāo)記來(lái)源域名:OriginHeader和RefererHeader。通過(guò)Header的驗(yàn)證,我們可以知道發(fā)起請(qǐng)求的來(lái)源域名,這些來(lái)源域名可能是網(wǎng)站本域,或者子域名,或者有授權(quán)的第三方域名,又或者來(lái)自不可信的未知域名。在Web應(yīng)用中檢查請(qǐng)求頭中的Header字段,確保請(qǐng)求來(lái)自合法的來(lái)源。但是,這種方式并不是完全可靠的,因?yàn)楣粽呖梢酝ㄟ^(guò)篡改HTTP請(qǐng)求頭的方式繞過(guò)Header檢查。2.SamesiteCookie為了從源頭上解決CSRF攻擊,Google起草了一份草案來(lái)改進(jìn)HTTP協(xié)議,那就是為Set-Cookie響應(yīng)頭新增Samesite屬性,它用來(lái)標(biāo)明這個(gè)Cookie是個(gè)“同站Cookie”,同站Cookie只能作為第一方Cookie,不能作為第三方Cookie。3.CSRFToken在應(yīng)用程序中使用CSRFToken可以有效地防止CSRF攻擊。CSRFToken是在服務(wù)器端生成的一段隨機(jī)字符串,該字符串與用戶會(huì)話相關(guān)聯(lián),作為表單隱藏字段或請(qǐng)求參數(shù)的一部分,一起發(fā)送給客戶端瀏覽器。當(dāng)客戶端提交表單或請(qǐng)求時(shí),服務(wù)器端會(huì)驗(yàn)證請(qǐng)求中的Token是否與用戶會(huì)話中的Token一致,如果一致則認(rèn)為請(qǐng)求是合法的,否則拒絕請(qǐng)求。這樣,即使攻擊者成功偽造了請(qǐng)求,也無(wú)法獲取有效的令牌信息,從而無(wú)法完成攻擊。4.特定情況下的必要嚴(yán)重在特定情況下加入一些特定的驗(yàn)證來(lái)防止CSRF攻擊,當(dāng)用戶在應(yīng)用程序中執(zhí)行敏感操作時(shí),應(yīng)用程序可以要求用戶提供額外的驗(yàn)證信息,例如輸入密碼或者提供其他的身份信息。教師講授、演示。學(xué)生學(xué)習(xí)、模仿,練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論