




版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
XX學(xué)院課程教案開(kāi)課學(xué)院XX學(xué)院課程名稱(chēng)WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級(jí)XXX總課時(shí)64
項(xiàng)目五任務(wù)三《跨站請(qǐng)求偽造漏洞檢測(cè)與利用》任務(wù)四《跨站請(qǐng)求偽造漏洞修復(fù)與防范》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱(chēng)跨站請(qǐng)求偽造漏洞檢測(cè)與利用、跨站請(qǐng)求偽造漏洞修復(fù)與防范授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述:檢測(cè)和利用跨站請(qǐng)求偽造漏洞、對(duì)跨站請(qǐng)求偽造漏洞進(jìn)行修復(fù)和防范。2、知識(shí)準(zhǔn)備:HTML、JavaScript、CSS前端知識(shí)及HTTP協(xié)議知識(shí)。3、任務(wù)實(shí)施:檢測(cè)和利用博客系統(tǒng)中的跨站請(qǐng)求偽造漏洞、針對(duì)博客系統(tǒng)相關(guān)功能存在的跨站請(qǐng)求偽造漏洞進(jìn)行修復(fù)和防范。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了跨站請(qǐng)求偽造漏洞原理和特點(diǎn)的知識(shí),具備了針對(duì)跨站請(qǐng)求偽造漏洞的利用檢測(cè)及修復(fù)防范的知識(shí)儲(chǔ)備,但缺乏融會(huì)貫通和綜合運(yùn)用能力,未接觸過(guò)職業(yè)工作和專(zhuān)業(yè)技能競(jìng)賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、熟悉跨站請(qǐng)求偽造漏洞的檢測(cè)方法。2、熟悉跨站請(qǐng)求偽造漏洞的利用方法。3、熟悉跨站請(qǐng)求偽造漏洞的修復(fù)防范方法能力目標(biāo)1、能夠檢測(cè)出跨站請(qǐng)求偽造漏洞。2、能夠利用跨站請(qǐng)求偽造漏洞。3、能夠?qū)崿F(xiàn)對(duì)跨站請(qǐng)求偽造漏洞的修復(fù)和防范素質(zhì)目標(biāo)1、養(yǎng)成個(gè)人敏感信息保護(hù)習(xí)慣。2、提高網(wǎng)絡(luò)安全防范意識(shí)。教學(xué)重點(diǎn)跨站請(qǐng)求偽造漏洞的檢測(cè)、跨站請(qǐng)求偽造漏洞的四種修復(fù)防范方法教學(xué)難點(diǎn)跨站請(qǐng)求偽造漏洞的利用二、教學(xué)策略教學(xué)資源在線開(kāi)放課程平臺(tái),超星課程平臺(tái),多媒體課件,理實(shí)一體化實(shí)訓(xùn)室,網(wǎng)絡(luò)教學(xué)資源。實(shí)物:教材,軟件工具包。教學(xué)方法與手段1、教學(xué)方法:案例法、講授法、自學(xué)法2、教學(xué)模式:采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn):跨站請(qǐng)求偽造漏洞的檢測(cè)、跨站請(qǐng)求偽造漏洞的四種修復(fù)防范方法措施:老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn):跨站請(qǐng)求偽造漏洞的利用措施:老師講解加演示三、教學(xué)實(shí)施第3次課(2課時(shí))課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī),組織學(xué)生座位靠前,強(qiáng)調(diào)學(xué)習(xí)紀(jì)律,點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書(shū),預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí),引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變,培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)三跨站請(qǐng)求偽造漏洞檢測(cè)與驗(yàn)證引導(dǎo)學(xué)生通過(guò)教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù):1.跨站請(qǐng)求偽造漏洞的檢測(cè)2.跨站請(qǐng)求偽造漏洞的利用任務(wù)四跨站請(qǐng)求偽造漏洞修復(fù)與防范引導(dǎo)學(xué)生通過(guò)教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù):1.同源檢測(cè)2.SamesiteCookie3.CSRFToken4.特定情況下的必要嚴(yán)重教師講授、演示。學(xué)生跟隨老師講課,加深印象,準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)任務(wù)三跨站請(qǐng)求偽造漏洞檢測(cè)與驗(yàn)證1.跨站請(qǐng)求偽造漏洞的檢測(cè)CSRF攻擊是攻擊者借助受害者的cookie騙取服務(wù)器的信任,但是攻擊者并不能拿到cookie,也看不到cookie的內(nèi)容。另外,對(duì)于服務(wù)器返回的結(jié)果,由于瀏覽器同源策略的限制,攻擊者也無(wú)法進(jìn)行解析。因此,攻擊者無(wú)法從返回的結(jié)果中得到任何東西,他所能做的就是給服務(wù)器發(fā)送請(qǐng)求,以執(zhí)行請(qǐng)求中所描述的命令,在服務(wù)器端直接改變數(shù)據(jù)的值,而非竊取服務(wù)器中的數(shù)據(jù)。2.跨站請(qǐng)求偽造漏洞的利用使用BurpSuite截獲信息,并利用CSRF漏洞,先截獲口令修改的http請(qǐng)求包,然后生成CSRFPoc,csrfHTML成功生成后,將其中的html存為一個(gè)單獨(dú)的文件,也可以做一定的迷惑、引誘性偽裝,將其上線到一個(gè)網(wǎng)頁(yè)中發(fā)送給受害者。如果受害者點(diǎn)擊該鏈接,那么他的該站密碼會(huì)修改為我們提前設(shè)置好的字符任務(wù)四跨站請(qǐng)求偽造漏洞修復(fù)與防范1.同源檢測(cè)禁止外域(或者不受信任的域名)對(duì)我們發(fā)起請(qǐng)求。在HTTP協(xié)議中,每一個(gè)異步請(qǐng)求都會(huì)攜帶兩個(gè)Header,用于標(biāo)記來(lái)源域名:OriginHeader和RefererHeader。通過(guò)Header的驗(yàn)證,我們可以知道發(fā)起請(qǐng)求的來(lái)源域名,這些來(lái)源域名可能是網(wǎng)站本域,或者子域名,或者有授權(quán)的第三方域名,又或者來(lái)自不可信的未知域名。在Web應(yīng)用中檢查請(qǐng)求頭中的Header字段,確保請(qǐng)求來(lái)自合法的來(lái)源。但是,這種方式并不是完全可靠的,因?yàn)楣粽呖梢酝ㄟ^(guò)篡改HTTP請(qǐng)求頭的方式繞過(guò)Header檢查。2.SamesiteCookie為了從源頭上解決CSRF攻擊,Google起草了一份草案來(lái)改進(jìn)HTTP協(xié)議,那就是為Set-Cookie響應(yīng)頭新增Samesite屬性,它用來(lái)標(biāo)明這個(gè)Cookie是個(gè)“同站Cookie”,同站Cookie只能作為第一方Cookie,不能作為第三方Cookie。3.CSRFToken在應(yīng)用程序中使用CSRFToken可以有效地防止CSRF攻擊。CSRFToken是在服務(wù)器端生成的一段隨機(jī)字符串,該字符串與用戶會(huì)話相關(guān)聯(lián),作為表單隱藏字段或請(qǐng)求參數(shù)的一部分,一起發(fā)送給客戶端瀏覽器。當(dāng)客戶端提交表單或請(qǐng)求時(shí),服務(wù)器端會(huì)驗(yàn)證請(qǐng)求中的Token是否與用戶會(huì)話中的Token一致,如果一致則認(rèn)為請(qǐng)求是合法的,否則拒絕請(qǐng)求。這樣,即使攻擊者成功偽造了請(qǐng)求,也無(wú)法獲取有效的令牌信息,從而無(wú)法完成攻擊。4.特定情況下的必要嚴(yán)重在特定情況下加入一些特定的驗(yàn)證來(lái)防止CSRF攻擊,當(dāng)用戶在應(yīng)用程序中執(zhí)行敏感操作時(shí),應(yīng)用程序可以要求用戶提供額外的驗(yàn)證信息,例如輸入密碼或者提供其他的身份信息。教師講授、演示。學(xué)生學(xué)習(xí)、模仿,練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 誠(chéng)信主題演講稿
- (2篇)四年級(jí)家長(zhǎng)會(huì)發(fā)言稿范例
- 小學(xué)四年級(jí)數(shù)學(xué)除數(shù)是兩位數(shù)的除法能力檢測(cè)題
- 謝師宴致辭精
- 20以內(nèi)三個(gè)數(shù)加減混合運(yùn)算水平測(cè)試練習(xí)題帶答案
- 青春與夢(mèng)想講話稿15篇
- 銀行業(yè)務(wù)與經(jīng)營(yíng)管理
- 跟骨骨折治療
- 編制說(shuō)明(征求意見(jiàn)稿)游樂(lè)數(shù)字化管理系統(tǒng)技術(shù)規(guī)范
- 車(chē)間工會(huì)管理
- 2024年職業(yè)病防治考試題庫(kù)附答案(版)
- 高中生物選修三測(cè)試題
- 【呋塞米合成工藝的探究進(jìn)展5300字(論文)】
- GB/T 18385-2024純電動(dòng)汽車(chē)動(dòng)力性能試驗(yàn)方法
- 監(jiān)理安全責(zé)任制
- 浙江省杭州市杭州二中錢(qián)江學(xué)校2024-2025學(xué)年高一物理下學(xué)期月考試題含解析
- 公路沖擊碾壓應(yīng)用技術(shù)指南
- 修復(fù)征信服務(wù)合同模板
- 中煤新疆公司所屬新能源公司招聘管理人員筆試真題2022
- JGJ106-2014建筑基樁檢測(cè)技術(shù)規(guī)范
- JT-T-1239-2019瀝青路面抗凝冰涂層材料技術(shù)條件
評(píng)論
0/150
提交評(píng)論