“Web安全基礎”實驗教學探討

吳建軍

摘要：Web安全實驗體現了網絡空間安全的特色，作者圍繞網絡安全的教學思維，以多門軟件開發課程為基礎，結合互聯網主流安全漏洞的攻防技術，綜合成熟的安全攻防實驗平臺和學生自有的代碼項目，實現了進行安全測試與防御，舉例解析了實驗課程項目。

關鍵詞：Web安全；實驗項目；漏洞；攻擊；防御

中圖分類號：G434 文獻標識碼：A 論文編號：1674-2117（2019）08-0103-04

引言

“Web安全基礎”（Web Security foundation）是網絡空間安全專業的主要專業課程之一，筆者所在學校該本科專業的開課時間為第五學期。通過對Web應用系統各層次存在的安全隱患和安全威脅的教學，讓學生建立Web安全總體概念，熟悉相關技術的基本原理，掌握相應的方法手段，提高Web安全應用意識和安全開發能力。作為應用型本科專業的培養，該課程配套的實驗教學，應注重將Web安全領域的針對主要安全漏洞的攻擊技能應用和對應預防安全威脅的安全開發能力培養相結合，也就是既具有一定的Web安全滲透測試能力，也具有較好的安全開發技能，以體現本專業的人才培養特色。

教學資源準備

Web安全實驗不同于傳統的計算機軟件開發類實驗，它直接與當前互聯網應用的各類安全問題緊密相連，是多門專業課程的綜合應用。為此，筆者所在學校首先從教師自身的網絡安全實踐應用能力培養與提高入手，專門安排該課程相關教師進入國內知名的網絡安全公司開展為期半年到一年的實踐學習與研究。

同時，與國內多家網絡安全公司及安全教育公司密切合作，簽署教育部產學研合作協同育人項目，引入多個安全攻防教學平臺，為網絡安全實踐教學提供了較豐富的校內在線資源。

實驗課程設計

本課程的主要預修課程包括操作系統、數據庫應用、Web系統開發等，基于合作引入的網絡安全攻防平臺，合理地組織現有資源，并針對本校學生特點，設計具有系統性和開放性的實驗課程內容。

“Web安全基礎”課程的理論課主要講述了客戶端腳本安全、Web服務端應用安全以及安全運營等內容[1]，可供參考的思維導圖如下頁圖1所示。

配套的實驗課以上述理論課為線索，參照國際主流的OWASP（Open Web Application Security Project，開放式Web應用程序安全項目）組織公布的Web安全應用Top10文檔[2]，同步關注Web安全領域的十大威脅，力爭構建能激發學生興趣、培養其安全應用思維和安全開發方法。具體實驗內容如下頁表所示，每次實驗為2課時，共18課時。

實驗項目示例

本課程實驗的基本過程主要包括如下內容：漏洞現象驗證及相關工具應用、安全漏洞利用、漏洞防御、進階應用。根據理論課已講述的內容，配合必要的工具軟件，完成漏洞現象驗證，實現基本的感性認識，結合相關安全事件，認識到漏洞帶來的威脅。在配套的安全實驗平臺，可以完成進一步的漏洞利用（攻擊）過程，在模擬的目標平臺，實現漏洞利用，如獲取Web應用的賬戶信息。漏洞防御主要與程序開發相關，結合以往專業課，對之前不安全代碼進行改進，實現防御目標。進階應用環節可以在課后繼續學習中完成。下面，列舉兩個實驗項目給予分析。

1.XSS漏洞的危害、攻擊與防御

（1）XSS漏洞現象驗證

①從網絡安全實驗平臺驗證。通過平臺提供的基礎案例，很快能從中驗證XSS（Cross-site Scripting）跨站腳本攻擊現象，如反射型XSS被執行時的彈窗現象。

②從學生以往課程實驗中驗證。如前文所述，Web系統開發是前驅課程，學生重新打開之前的實驗項目，在調試中輸入XSS代碼測試，可以更顯著地發現跨站腳本執行的結果。例如，一個基于JSP開發的數據庫存取實驗項目，在提交數據的表單中，填寫包含如下腳本：

原代碼并未做XSS防御處理，將上述腳本直接保存至數據庫。而后，在數據庫讀取顯示的頁面中，當訪問上述記錄時，直接把當前瀏覽用戶的cookie信息發送到了攻擊者的指定地址http：//192.168.0.169：8007/XSS_savecookie.asp，從而發生了存儲型跨站腳本攻擊。特意設計了攻擊者收集cookie信息的網站使用asp技術，以示接收信息的平臺類型不受限制。學生從自己以往的實驗項目中發現了Web安全漏洞，體會更加深刻。

（2）利用XSS的攻擊

攻擊過程可以根據需要，使用合作公司的實驗平臺或OWASP開放的WebGoat安全測試項目，也可以在學生自建虛擬機環境中測試。通過XSS漏洞利用，獲取受害者cookie信息后，攻擊者可以無需賬號密碼直接登錄到相關網站。如果該賬戶權限是管理員，那么攻擊者就獲取了該網站的最高權限，危害很大。

（3）XSS防御

防御環節是最重要的，發現安全漏洞后，要通過適當的防范給予防御，這是本專業的主要培養方向。例如，在該實驗項目中，學生對帶有存儲型XSS漏洞的Web項目進行了HTTP only設置。之后，在攻擊者獲取的信息中，就無法讀取cookie信息，從而對該項目實現了有效的加固。當然，也讓學生意識到防范的措施并不是單一的，也不是不計成本的。

（4）XSS進階

進階學習既有攻擊方面的內容，也有防御方面的內容。給學生提供適當的進階學習方向，如構建更隱蔽的XSS代碼實現攻擊，或采用更先進的Web框架開發技術，都可以有進一步的攻防學習進階。進階學習成果可以安排學生在課堂中討論。

2.SQL注入的危害、攻擊與防御

（1）SQL注入現象驗證

①從網絡安全實驗平臺驗證。通過平臺提供的基礎案例，可以提供快速驗證。例如，可以通過SQL注入，獲取數據庫中更多的信息顯示。

②從學生以往課程實驗中驗證。與XSS相似，以往Web開發課程中的SQL存取并未注意防范注入問題。如圖2所示，結合使用WebScarab攔截工具，對用戶登錄的密碼進行SQL注入，修改password字段內容為“a' or 1=1 --”后提交請求，登錄成功。它不僅繞過了用戶密碼，還避開了網頁前端使用JavaScript腳本檢測密碼字符串規則。

（2）SQL注入的危害分析與注入語句設計

SQL注入直接發生在Web服務器上，可以篡改數據庫以及提權等攻擊，危害巨大。在學生構建SQL注入語句時，借用SSMS（SQL Server Management Studio）是一個直觀的方法。使用SQL Server數據庫管理平臺，構建實驗數據庫，在其“新建查詢”窗口，可以給予SQL語法，構建各類注入語句，并在實驗數據庫中完成測試。

在傳統的數據庫課程學習中，并未構建包含諸如“a' or 1=1 --”的SQL語句，而在當前的SQL注入實驗中，需要配合Web頁面中的場景，實現注入攻擊。在SSMS中調試成功的注入語句，可以更好地讓學生理解其中的原理。

（3）SQL注入的防御

同樣，SQL注入的防御，也可以在學生自有項目中進行調試，實現加固。例如，在JSP中使用預編譯語句：

String name=request.getParameter（"curname"）；

String query="SELECT addr FROM userInfo WHERE username=？"；

PreparedStatement pdst=

connection.prepareStatement（query）；

pdst.setString（1， name）；

ResultSet results=pdst.executeQuery（）；

使用預編譯SQL語句，語義不會發生改變。上述代碼中，字段值的變量用“？”表示，攻擊者無法改變SQL的結構，即使插入類似于上文“a' or 1=1”的字符串，也只會把該字符串作為username的值進行查詢，而不會發生注入攻擊。

（4）SQL注入的進階

SQL注入的基本原理在于開發者違背了“數據與代碼分離原則”，在需要“拼接”的地方必須進行安全檢查。[3]在進階攻擊中，攻擊者可以構建功能更多的SQL語句，實現數據庫數據的下載或篡改；還可以通過SQL注入在數據庫中創建觸發器，實現持續性攻擊；還可以通過進一步的手段實現提權，控制整個Web服務器。理解攻擊者更多的手段，是安全開發的必要準備。

結語

實驗教學是培養學生掌握發現、分析和解決問題能力的重要環節。[4]筆者所在學校的Web安全實驗整理了多方面的教學資源，從通用性的網絡安全實驗平臺學習驗證問題的現象，結合自身開發的項目代碼分析問題的原因與適當的解決方法，進而綜合各種資源提升學生的學習興趣與成效。同時，結合《中華人民共和國網絡安全法》的教育，培養有技術、知法守法的專業人才，通過幾屆學生的教學實踐，教學效果良好。

參考文獻：

[1][3]吳翰清.白帽子講Web安全[M].北京：電子工業出版社，2014.

[2]OWASP.OWASP Top 10 2017[EB/OL].http：//www.owasp.org.cn/owasp-project/OWASPTop102017v1.3.pdf.

[4]杜曄，陳賀男，黎妹紅，等.Web應用安全實驗教學探討與案例評析[J].計算機教育，2015（19）：17-19.

基金項目：本文獲得浙江師范大學“《軟件安全》課程仿真實驗項目建設”（SJ201823）資助。