摘 要:职业院校如何有效培养网络安全渗透和网络安全防范综合性应用人才,探索网络安全技术课程攻防一体化教学设计与应用具有重要意义。本文从网络安全课程教学中存在的突出问题出发,提出攻防一体化教学设计思路,有效**教学难题。通过网络渗透模块设计和综合实践,提升学生的专业动手能力,强化攻防一体化教学的重要性。通过网络渗透技术教学,促进网络安全防护工作,做到以攻助防,攻防结合。
关键词:网络安全;
渗透技术;
一体化教学;
教学改革
中图分类号:TP39;
G434 文献标识码:A 文章编号:2096-4706(2023)10-0166-05
Abstract:
It is of great significance for vocational colleges to effectively cultivate comprehensive application talents of network security penetration and network security prevention, and explore the integrated teaching design and application of attack-defense integration of network security technology courses. Starting from the prominent problems in the teaching of network security course, this paper puts forward the idea of attack-defense integration teaching design to effectively solve the teaching problems. Through the network penetration module design and comprehensive practice, it improves students" professional hands-on ability, and strengthens the importance of attack-defense integration teaching. Through the teaching of network penetration technology, it promotes the work of network security protection, and achieves the combination of attack and defense.
Keywords:
network security; infiltration technology; integrated teaching; reform in education
0 引 言
随着信息化高速发展与广泛应用,网络安全问题凸显,网络安全综合应用型人才缺乏,职业院校被赋予培养专业技术技能人才的重要使命。如何有效**网络安全课程教学的难题,探讨培养符合社会发展相适应的技能型人才和攻防综合型人才具有十分重要意义。在遵守国家法律法规的前提下,要科学设计好教学内容,开展攻防练习,做到攻防一体化教学,提升学生的攻防动手能力。
1 教学存在的难题
1.1 老师怕交学生难学
网络安全技术是一门实用性、操作性极强的技术,但使用不当可能会导致负面影响,甚至触犯法律。《中华人民共和国网络安全法》及相关法律法规成为网络安全课程的必修课,合理引导学生正确使用网络安全渗透技术,成为网络安全课程的重要内容。而学生渴望马上能够动手渗透实战技术,老师交与学生学渴望不一致,老师害怕学生犯错误,学生迫不及待想展示技能,焦距点不一致。
1.2 网络安全教学攻防平台建设及使用困难
网络安全课程对实战演练平台要求较高,实战演练一般都在虚拟环境里进行。学校建设网络安全实验室和实验环境建设投入经费多,资源更新快,对网络安全技术人才要求较高,要求具备扎实专业知识和正确的价值观,能够胜任攻防一体教学的综合性人才。而大部分高校在网络安全实训室和攻防平台建设投入邂逅,网络安全专业人才缺乏,实战能力不足,不满足学生的预期的愿望。
1.3 只重视攻忽略防
网络安全渗透测试的目的在于查找漏洞,做到知彼知己,百战不殆,有利做好网络安全防护工作。在实际教学中,重视渗透测试,忽略安全策略防范,学生容易误解,走向误区。在毕业工作实践中,网络渗透只是一方面,而网络安全防护才是主要任务。
2 攻防一体化教学设计
2.1 信息采集技术
在网络安全渗透测试过程中,要全面掌握渗透对象的基本信息,做到知彼知己,百战不殆。信息的采集包括收集域名备案信息,系统的敏感信息,系统的版本信息,开放服务及端口信息,敏感目录信息等,收集信息有利于开展渗透测试。在课程教学设计中,要针对性设计信息采集技术,常用端口及渗透利用方向如表1所示。
2.2 攻防实战平台搭建
在网络安全技术课程教学中,攻防教学演练平台十分重要,也是教师上网络安全课程的难题。建设和购置网络安全攻防平台,费用较高,网络安全实战教程技术落后,不满足教学和实战演练的需要。自主搭建网络安全攻防平台,可以节约大量的建设成本,同时让学生在搭建环境中学习平台搭建过程,提高自主驾驭平台的能力。
DVWA是一个基于PHP和MySQL开发的漏洞测试平台,是网络安全攻防学习的常用漏洞测试平台。对于初学者来说,可以选择Windows系统,通过安装应用程序phpStudy(apache,php,MySQL)便于快速部署dvwa,部署完成后通过测试程序firefox、new hacker、burpsuite、SQLmap、中国菜刀等常用安全测试工具开展攻防实验。下载DVWA解压到phpStudy的Web目录,修改数据库配置并保存,然后访问地址http://localhost/DVWA-1.9,在显示页面中点击create/reset database进行数据库初始化,默认账号为admin,密碼为password。DVWA分四个安全级别,可以通过页面进行设置,四个安全级别分别为low、medium、high、impossible,其中low安全级别低,没有任何安全措施,容易受到攻击;
medium安全级别中,尝试提供安全措施,但未能保护应用程序,为不良的安全实践;
high安全级别高,尝试提供混合的更难或者替换的安全措施保护代码,漏洞利用难度,类似于CTF;
impossible:安全的默认级别;
在教学过程中,老师可以根据学生情况和教学进度设置安全级别,不断提高漏洞检测能力。
2.3 Web安全渗透测试技术教学设计
谈到Web安全不得不谈的是在2017年发布了影响Web应用的十大安全风险,这些安全风险提醒我们要高度重视Web安全,在软件开发过程中,要避免代码漏洞给用户带来的安全隐患,要进一步弄明白漏洞利用过程,努力提高了Web应用系统的安全性。
2.3.1 XSS攻击
XSS跨站脚本攻击是网络攻击者制定恶意代码程序,通过某些技术将恶意代码注入到校园网站中,当客户正常打开网站时,就启动了恶意代码,执行预定的恶意程序,破坏学校软件和硬件资源,达到预定的目的。如入侵者把恶意代码注入到网站中,当用正常打开网站和执行身份验证操作时,攻击者就可以获取相关账户信息,获得相关登录权限,然后对网站进行篡改和相关操作,挂载木马,获取相关敏感信息,破坏系统,从而攻击者达到其攻击的目的。
反射型XSS漏洞场景:将前端获取的内容,直接输出到浏览器页面,后端代码:<?php $content=$_GET[data]; echo $content;?>,通过直接访问http://127.0.0.1/sdcsfecatrtyg/xss.php?data=123456789,结果如图1所示。
上述结果是对客户端输入的内容没有做任何过滤的,接下来是直接构造攻击语句实现对html页面注入。攻击语句,前端输入:http://loaclhost/sdcsfecatrtyg/xss.php?data=测试效果如图2所示。
修复建议:对客户端用户输入提交到Web服务器的参数进行转义或过滤。
2.3.2 SQL注入攻击
SQL注入攻击是在软件发过程中,程序员对SQL语句没有严格过滤和处理,入侵者通过构造SQL语句,并执行相应操作,就能成功获得数据库、表、用户权限等信息,然后登录数据库和信息系统后台,任意操作和篡改数据。
SQL注入漏洞带来的危害主要有数据信息泄露、数据的篡改,Web网站页面内容被恶意篡改或挂木马。
SQL注入漏洞场景:在本地搭建漏洞平台:主要环境是基于Windows 10系统,搭建apache服务,安装MySQL 5.6和php5.6,构造PHP页面并存在SQL注入,漏洞注入界面如图3所示。
如图4所示,使用SQLmap漏洞检测工具,测试语句:sqlmap -u "http://127.0.0.1/akcklw85sql.php?name=11&submit=%E6%9F%A5%E8%AF%A2"得到数据库的版本,接下来继续深入挖掘,得到所有数据库名。测试语句为sqlmap -u "http//127.0.0.1/akcklw85sql.php?name=11&submit=%E6%9F%A5%E8%AF%A2" --dbs
如图5所示,成功获得数据库名称后,在获取数据库里users表里面的数据,包含用户名及密码,参考语句为sqlmap -u "http://127.0.0.1/akcklw85sql.php?name=11&submit=%E6%9F%A5%E8%AF%A2"-D pi -T users --dump
SQL注入防范要點:建议尽量过滤掉逻辑 and 符号、分号、美元符号、百分比符号、尖括号、单引号、双引号、反斜杠转义单引号、回车符、反斜杠、竖线符号、@符号等特殊符号。
2.3.3 DDoS拒绝服务攻击
DDoS拒绝服务就是指网站或者服务器对外停止服务,攻击者通过技术手段把服务器的资源耗尽,用户无法正常打开访问网站或服务器。例如你开了一家餐厅,生意还可以。此时,你的同行小西盯上了你(黑客攻击者),于是她找来了一群闹事的人(非法控制的肉鸡)。紧接着,你会突然发现店里面来了一大群客人(异常流量恶意访问),而且他们到店里,不吃东西,堵着店门,占着位置,赖着不走了,造成了资源的浪费。而真正的顾客想消费的连进店的地方都没有了,这就是所谓的DDoS攻击。DDoS攻击的危害表现为服务器内存资源耗尽、服务器死机。
DDoS攻击修复建议:一是及时安装操作系统补丁,避免系统漏洞导致攻击;
二是部署负载均衡策略,合理规划流量的走向。
2.3.4 弱口令攻击
弱口令是一种过于简单密码,入侵者能够根据数字和字母随机组合,通过密码字典多线程进行密码匹配,能快速**成功的密码。常见的弱口令有“12345678”“qwer”等,因为这样的密码大部分是设备和系统默认密码,密码简单,容易被人猜测,从而使计算机随时都处于一个风险危险的状态。
弱口令修复建议:一是设置密码安全策略,限制登录次数,密码锁定策略;
二是设置强口令,通过技术手段强制密码的复杂程度,密码至少8位以上,必须由大小字母、特殊字符、数字组成,确保密码的复杂程度;
三是关闭不必要和长期不适用的账户。
2.3.5 逻辑漏洞
逻辑漏洞是由于软件系统开发过程中,系统逻辑分析不清楚,在数据流设计过程中不够严谨,导致系统逻辑漏洞。入侵者利用这个逻辑漏洞获取权限,达到非法获取信息和资源,给系统带来严重威胁。具体实现过程如下:首先发现一个存在修改密码的页面,其次进行修改密码,需要提交注册邮箱(这个邮箱是通过盲目瞎猜的),然后发送一下验证码,并且随意填写验证码。点击下一步后,抓取服务器的返回包,将false修改为true;
0修改为1,然后发送返回包。成功回到页面即可看到页面已成功绕过邮箱验证,进入到了修改密码的步骤。
逻辑漏洞修复建议:在软件系统开发过程中,明确逻辑关系,加强对软件功能和性能的测试,优化程序。
2.3.6 文件上传漏洞
上传文件功能在学校应用较多,比如学生交作业,老师传教学资料。但是,如果程序员在开发上传文件功能中文件格式限制不严格,没有做相关的过滤,用户可以上传任意文件,如用户上传一张带有恶意代码的图片,这些恶意代码就可以获得执行服务器调用终端命令(bash/cmd/powershell)的能力,然后获得文件服务的相关操作权限,这是一件非常危险的事情。通过中国菜刀连接一句话木马<?php eval($_POST[tfy]);?>,每一个功能的操作都是通过post方式进行执行代码给一句话木马,当一句话木马接收到菜刀提交过来的数据,通过eval函数在目标服务器上执行,从而实现了控制目标服务器。
文件上传漏洞修复建议:限制上传文件的类型,加强文件的安全检测。
2.4 kaill渗透测试在教学中的应用
2.4.1 NMAP工具的应用
NMap(Network Mapper)是Linux下的网络扫描和嗅探工具包,Nmap是一款网络扫描和主机检测的非常有用的工具。Nmap是不局限于仅仅收集信息和枚举,同时可以用来作为一个漏洞探测器或安全扫描器,它可以适用于winodws、linux、mac等操作系统。其基本功能有三个:一是扫描主机端口,嗅探所提供的网络服务;
二是是探测一组主机是否在线;
三是还可以推断主机所用的操作系统,到达主机经过的路由,系统已开放端口的软件版本,Nmap常用的扫描命令如表2所示。
2.4.2 MSF模块的应用
MSF模块是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具,是教师开展网络安全渗透测试的实用工具。如数据库爆破场景设计,通过渗透测试平台对服务器进行数据库服务超级管理员口令暴力**,使用渗透测试平台中的字典文件superdic.txt,关键代码如下:
msf > use auxiliary/scanner/mssql/mssql_login #实用数据库爆破模块
msf> auxiliary(mssql_login) > set username sa#设置数据库用户名为sa
msf> auxiliary(mssql_login) > set pass_file/usr/share/wordlists/metasploit/superdic.txt#设置爆破密码字典文件
msf> auxiliary(mssql_login) > run#开始爆破
[+] 192.168.28.131:1433 - 192.168.28.131:1433 - LOGIN SUCCESSFUL:
WORKSTATION\sa:123456#成功获得数据库密码
3 网络渗透测试综合实践
在网络安全实践教学中,要设计网络安全技术综合应用实践模块教学,加强对网络安全技术的应用,网络安全工具的应用,熟悉渗透测试流程,学会事前、事中、事后的安全处理,优化网络安全防范策略,达到攻防一体化的教学目的。
3.1 渗透流程
以某單位门户网站渗透测试为例,一是要明确渗透测试目标,渗透对象是服务器系统和是网站,明确渗透测试方法和适用工具,为渗透测试做准备。二是收集目标对象相关信息,如网站的敏感目录,后台登录地址,分析网站结构,了解网站的开发语言等信息。三是漏洞挖掘,通过渗透测试平台和相关工具全面了解网站及服务器开放的服务及端口信息,系统的类型和服务的版本信息,对照官方网站公布的漏洞信息表查找漏洞,挖掘有用的信息便于开展渗透工作。四是漏洞利用,在前面收集和掌握目标对象漏洞信息的基础上,部署好相关渗透测试工具,尝试安全渗透,找到渗透关键点和突破点。五是渗透实践,开展渗透测试实践,熟悉安全工具的应用,提升用户权限,达到控制网站及服务器的目的,同时清理日志及痕迹。六是开展渗透总结工作,让学生总结渗透测试成功或者失败的原因,便于能够举一反三。七是合理制定安全防护的策略和方法,网络渗透的目的是查找漏洞点,帮助用户加强网络安全防护工作,避免再次受到黑客攻击,渗透测试流程如图6所示。
3.2 渗透步骤
一是搭建网络安全渗透测试环境。本次渗透在局域网内虚拟环境中进行,需要在虚拟机中安装windows server 2019服务器,部署渗透测试网站。同时准备一台虚拟电脑用于安装渗透工具,开展渗透测试。两台电脑地址配置同一网段,如服务器地址为192.168.1.128,攻击机地址为192.168.1.129,确保两台电脑之间能够互相通信。如需要用域名访问网站,需要修改DNS。对于windows系统来说,一般修改C:\Windows\System32\drivers\etc\hosts文件,添加如下记录192.168.1.128 www.abc.cn,192.168.1.128 abc.cn即可。
二是收集网站后台登录地址信息。可以使用7kbscan-WebPathBrute工具扫描网站,设置扫描目标,http://www.abc.cn,点击切换,选择字典,类型选择php,点击开始,成功找到网站后台登录地址http://www.abc.cn/upload/e/admin/index.php。
三是网站漏洞利用。以网站弱口令漏洞为例,通过Burp工具暴力**后台密码,成功获得后台登录账户密码。首先打开网站后台http://www.abc.cn/upload/e/admin/index.php,同时打开Burp工具,选择代理,开启拦截功能。在登录界面设置burp,输入网站用户名为admin,密码为任意,如12345。在burp界面选择12345.右键发送Intuder,点击攻击器(Intuder)全部选中清除payload位置,在添加payload,选择有效负荷,从文件加载,常用密码,点击开始攻击,直到成功获得用户名密码为止。
四是登录网站后台,达到渗透测试的目的。成功获取网站后台账户和密码后,通过登录界面成功登录系统后台,可以对网站图片进行修改,便于观察网站被篡改后的效果。同时删除用户登录日志,做好痕迹清理。
3.3 网络渗透总结
通过上述网络渗透综合实践,让学生系统全面的了解网络安全渗透全流程,学会信息收集的方法,漏洞挖掘技巧,漏洞利用和工具的合理使用,使学生充分认识到漏洞可能造成的严重后果,提高学生的安全防护意识,加强系统安全的防护策略,做到攻防一体化学习。一是要从网络渗透实践中提升网络安全技能水平,通过渗透实战体验和感受安全技术的重要性,提升学生的学习兴趣。二是熟练掌握渗透技术的全流程,能够核验系统的安全性,为系统加固提供依据和遵循。三是引导学生制定安全防护策略,做好系统安全的日常防护工作。如限制网站用户登录次数,一般三次账户密码错误会锁定账户,密码设置要求强密码,避免弱口令攻击。网站后台登录一般需要动态的验证码,提高网站的安全性。要开启网站登录日志和操作日志,发现异常情况要及时追踪,迅速处理网站漏洞和BUG,避免被他人利用。
4 结 论
网络安全技术课程实践性强,网络安全技术人才培养要强化实用性教学,既要重要网络安全渗透技术,也要强化网络安全防护技术。攻防一体化教学有利于提高学生的学习兴趣,技术的实用性得到彰显,要引导学生自己搭建网络渗透测试环境,全面掌握网络渗透的流程,网络渗透主要核心技术,寻找网络安全防护方法,做到以攻助防,攻防结合。
参考文献:
[1] 于顺达,杨宝石.浅谈教学一体化在高职教育中的实现途径 [J].公关世界,2022(16):102-103.
[2] 贺云龙.Web应用渗透技术研究及安全防御方案設计分析 [J].科技创新与应用,2022,12(29):189-192.
[3] 田永民.计算机网络攻防渗透技术研究 [J].无线互联科技,2022,19(20):149-151.
[4] 周艳秋.新时代下的高校《计算机网络安全》课程教学改革探讨 [J].中国新通信,2022,24(21):140-142.
[5] 郭金所.基于实网的攻防平台设计研究 [J].信息安全研究,2022,8(9):895-900.
作者简介:林家全(1987—),男,汉族,贵州桐梓人,讲师,本科,研究方向:网络安全技术、网络技术。
猜你喜欢一体化教学网络安全教学改革网络安全中国生殖健康(2019年10期)2019-01-07网络安全人才培养应“实战化”信息安全研究(2018年12期)2018-12-29上网时如何注意网络安全?小学生必读(中年级版)(2018年4期)2018-07-05机修钳工专业模块式一体化教学探索中国市场(2016年36期)2016-10-19汽车制造与维修专业一体化教学模式的渗透与实践科学与财富(2016年28期)2016-10-14基于技工院校市场营销专业一体化实践教学方法的思考科学与财富(2016年28期)2016-10-14基于人才培养的技工学校德育实效性研究成才之路(2016年25期)2016-10-08现代信息技术在高职数学教学改革中的应用研究科技视界(2016年20期)2016-09-29提高钳工实习教学质量的探索科技视界(2016年20期)2016-09-29以职业技能竞赛为导向的高职单片机实践教学改革研究科技视界(2016年20期)2016-09-29