Web安全與防護(hù) （微課版）05-3 項(xiàng)目五 安全的個(gè)人信息修改-任務(wù)三四教案

XX學(xué)院課程教案開(kāi)課學(xué)院XX學(xué)院課程名稱(chēng)WEB安全與防護(hù)授課學(xué)期XX學(xué)年第X學(xué)期授課教師XXX授課班級(jí)XXX總課時(shí)64

項(xiàng)目五任務(wù)三《跨站請(qǐng)求偽造漏洞檢測(cè)與利用》任務(wù)四《跨站請(qǐng)求偽造漏洞修復(fù)與防范》教學(xué)設(shè)計(jì)方案一、教學(xué)分析課題名稱(chēng)跨站請(qǐng)求偽造漏洞檢測(cè)與利用、跨站請(qǐng)求偽造漏洞修復(fù)與防范授課方式線下講課授課學(xué)時(shí)2授課地點(diǎn)授課時(shí)間202X年XX月XX日教學(xué)內(nèi)容1、任務(wù)描述：檢測(cè)和利用跨站請(qǐng)求偽造漏洞、對(duì)跨站請(qǐng)求偽造漏洞進(jìn)行修復(fù)和防范。2、知識(shí)準(zhǔn)備：HTML、JavaScript、CSS前端知識(shí)及HTTP協(xié)議知識(shí)。3、任務(wù)實(shí)施：檢測(cè)和利用博客系統(tǒng)中的跨站請(qǐng)求偽造漏洞、針對(duì)博客系統(tǒng)相關(guān)功能存在的跨站請(qǐng)求偽造漏洞進(jìn)行修復(fù)和防范。學(xué)情分析學(xué)習(xí)者前期學(xué)習(xí)了跨站請(qǐng)求偽造漏洞原理和特點(diǎn)的知識(shí)，具備了針對(duì)跨站請(qǐng)求偽造漏洞的利用檢測(cè)及修復(fù)防范的知識(shí)儲(chǔ)備，但缺乏融會(huì)貫通和綜合運(yùn)用能力，未接觸過(guò)職業(yè)工作和專(zhuān)業(yè)技能競(jìng)賽。教學(xué)目標(biāo)知識(shí)目標(biāo)1、熟悉跨站請(qǐng)求偽造漏洞的檢測(cè)方法。2、熟悉跨站請(qǐng)求偽造漏洞的利用方法。3、熟悉跨站請(qǐng)求偽造漏洞的修復(fù)防范方法能力目標(biāo)1、能夠檢測(cè)出跨站請(qǐng)求偽造漏洞。2、能夠利用跨站請(qǐng)求偽造漏洞。3、能夠?qū)崿F(xiàn)對(duì)跨站請(qǐng)求偽造漏洞的修復(fù)和防范素質(zhì)目標(biāo)1、養(yǎng)成個(gè)人敏感信息保護(hù)習(xí)慣。2、提高網(wǎng)絡(luò)安全防范意識(shí)。教學(xué)重點(diǎn)跨站請(qǐng)求偽造漏洞的檢測(cè)、跨站請(qǐng)求偽造漏洞的四種修復(fù)防范方法教學(xué)難點(diǎn)跨站請(qǐng)求偽造漏洞的利用二、教學(xué)策略教學(xué)資源在線開(kāi)放課程平臺(tái)，超星課程平臺(tái)，多媒體課件，理實(shí)一體化實(shí)訓(xùn)室，網(wǎng)絡(luò)教學(xué)資源。實(shí)物：教材，軟件工具包。教學(xué)方法與手段1、教學(xué)方法：案例法、講授法、自學(xué)法2、教學(xué)模式：采用線上線下混合教學(xué)模式教學(xué)重點(diǎn)解決措施重點(diǎn)：跨站請(qǐng)求偽造漏洞的檢測(cè)、跨站請(qǐng)求偽造漏洞的四種修復(fù)防范方法措施：老師講解加演示教學(xué)難點(diǎn)解決措施難點(diǎn)：跨站請(qǐng)求偽造漏洞的利用措施：老師講解加演示三、教學(xué)實(shí)施第3次課（2課時(shí)）課前準(zhǔn)備教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖備注提交手機(jī)，組織學(xué)生座位靠前，強(qiáng)調(diào)學(xué)習(xí)紀(jì)律，點(diǎn)名前次課程內(nèi)容回顧。教師組織教學(xué)學(xué)生看書(shū)，預(yù)習(xí)學(xué)生課前線上學(xué)習(xí)相關(guān)知識(shí)，引導(dǎo)學(xué)習(xí)方式轉(zhuǎn)變，培養(yǎng)自主學(xué)習(xí)能力。課中探究教學(xué)內(nèi)容教師活動(dòng)學(xué)生活動(dòng)設(shè)計(jì)意圖任務(wù)三跨站請(qǐng)求偽造漏洞檢測(cè)與驗(yàn)證引導(dǎo)學(xué)生通過(guò)教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.跨站請(qǐng)求偽造漏洞的檢測(cè)2.跨站請(qǐng)求偽造漏洞的利用任務(wù)四跨站請(qǐng)求偽造漏洞修復(fù)與防范引導(dǎo)學(xué)生通過(guò)教材、網(wǎng)絡(luò)及學(xué)習(xí)資料逐一預(yù)習(xí)相關(guān)的項(xiàng)目理論知識(shí)。本項(xiàng)目工作任務(wù)：1.同源檢測(cè)2.SamesiteCookie3.CSRFToken4.特定情況下的必要嚴(yán)重教師講授、演示。學(xué)生跟隨老師講課，加深印象，準(zhǔn)備自己操作多媒體教學(xué)、啟發(fā)式教學(xué)任務(wù)三跨站請(qǐng)求偽造漏洞檢測(cè)與驗(yàn)證1.跨站請(qǐng)求偽造漏洞的檢測(cè)CSRF攻擊是攻擊者借助受害者的cookie騙取服務(wù)器的信任，但是攻擊者并不能拿到cookie，也看不到cookie的內(nèi)容。另外，對(duì)于服務(wù)器返回的結(jié)果，由于瀏覽器同源策略的限制，攻擊者也無(wú)法進(jìn)行解析。因此，攻擊者無(wú)法從返回的結(jié)果中得到任何東西，他所能做的就是給服務(wù)器發(fā)送請(qǐng)求，以執(zhí)行請(qǐng)求中所描述的命令，在服務(wù)器端直接改變數(shù)據(jù)的值，而非竊取服務(wù)器中的數(shù)據(jù)。2.跨站請(qǐng)求偽造漏洞的利用使用BurpSuite截獲信息，并利用CSRF漏洞，先截獲口令修改的http請(qǐng)求包，然后生成CSRFPoc，csrfHTML成功生成后，將其中的html存為一個(gè)單獨(dú)的文件，也可以做一定的迷惑、引誘性偽裝，將其上線到一個(gè)網(wǎng)頁(yè)中發(fā)送給受害者。如果受害者點(diǎn)擊該鏈接，那么他的該站密碼會(huì)修改為我們提前設(shè)置好的字符任務(wù)四跨站請(qǐng)求偽造漏洞修復(fù)與防范1.同源檢測(cè)禁止外域（或者不受信任的域名）對(duì)我們發(fā)起請(qǐng)求。在HTTP協(xié)議中，每一個(gè)異步請(qǐng)求都會(huì)攜帶兩個(gè)Header，用于標(biāo)記來(lái)源域名：OriginHeader和RefererHeader。通過(guò)Header的驗(yàn)證，我們可以知道發(fā)起請(qǐng)求的來(lái)源域名，這些來(lái)源域名可能是網(wǎng)站本域，或者子域名，或者有授權(quán)的第三方域名，又或者來(lái)自不可信的未知域名。在Web應(yīng)用中檢查請(qǐng)求頭中的Header字段，確保請(qǐng)求來(lái)自合法的來(lái)源。但是，這種方式并不是完全可靠的，因?yàn)楣粽呖梢酝ㄟ^(guò)篡改HTTP請(qǐng)求頭的方式繞過(guò)Header檢查。2.SamesiteCookie為了從源頭上解決CSRF攻擊，Google起草了一份草案來(lái)改進(jìn)HTTP協(xié)議，那就是為Set-Cookie響應(yīng)頭新增Samesite屬性，它用來(lái)標(biāo)明這個(gè)Cookie是個(gè)“同站Cookie”，同站Cookie只能作為第一方Cookie，不能作為第三方Cookie。3.CSRFToken在應(yīng)用程序中使用CSRFToken可以有效地防止CSRF攻擊。CSRFToken是在服務(wù)器端生成的一段隨機(jī)字符串，該字符串與用戶會(huì)話相關(guān)聯(lián)，作為表單隱藏字段或請(qǐng)求參數(shù)的一部分，一起發(fā)送給客戶端瀏覽器。當(dāng)客戶端提交表單或請(qǐng)求時(shí)，服務(wù)器端會(huì)驗(yàn)證請(qǐng)求中的Token是否與用戶會(huì)話中的Token一致，如果一致則認(rèn)為請(qǐng)求是合法的，否則拒絕請(qǐng)求。這樣，即使攻擊者成功偽造了請(qǐng)求，也無(wú)法獲取有效的令牌信息，從而無(wú)法完成攻擊。4.特定情況下的必要嚴(yán)重在特定情況下加入一些特定的驗(yàn)證來(lái)防止CSRF攻擊，當(dāng)用戶在應(yīng)用程序中執(zhí)行敏感操作時(shí)，應(yīng)用程序可以要求用戶提供額外的驗(yàn)證信息，例如輸入密碼或者提供其他的身份信息。教師講授、演示。學(xué)生學(xué)習(xí)、模仿，練習(xí)。操作演示、啟發(fā)式教學(xué)課后拓展教學(xué)內(nèi)容教師活