《信息安全技術(shù)》實(shí)驗(yàn)報(bào)告書(shū)實(shí)驗(yàn)名稱：實(shí)驗(yàn)一Internet應(yīng)用風(fēng)險(xiǎn)專業(yè)：電子商務(wù)班級(jí)：1203班姓名：代常發(fā)學(xué)號(hào)：20124934指導(dǎo)老師：丁雷信息工程學(xué)院2015年5月

目錄一、實(shí)驗(yàn)?zāi)康?2二、實(shí)驗(yàn)內(nèi)容 2三、實(shí)驗(yàn)要求 3四、實(shí)驗(yàn)準(zhǔn)備 3五、實(shí)驗(yàn)原理、方法和手段 3六、實(shí)驗(yàn)條件 3七、實(shí)驗(yàn)步驟 3任務(wù)一、惡意網(wǎng)頁(yè) 3任務(wù)二、WEB服務(wù)器安全 9八、總結(jié) 18實(shí)驗(yàn)一 Internet應(yīng)用風(fēng)險(xiǎn)一、實(shí)驗(yàn)?zāi)康恼莆誌E瀏覽器的有關(guān)Cookie、Java、ActiveX等技術(shù)相關(guān)安全配置了解IE瀏覽器的安全漏洞了解Web服務(wù)器存在的安全問(wèn)題掌握設(shè)置IIS服務(wù)器用戶身份驗(yàn)證的方法掌握設(shè)置IIS服務(wù)器IP和域名限制的方法掌握更改通信端口的方法掌握使用SSL技術(shù)保證IIS服務(wù)器通信安全的方法了解FTP服務(wù)器存在的安全隱患掌握增強(qiáng)FTP服務(wù)器安全性的配置方法二、實(shí)驗(yàn)內(nèi)容1.WEB客戶端安全性配置Internet上存在的WEB服務(wù)五花八門，真假難辨，魚(yú)龍混雜。用戶常在訪問(wèn)了某些惡意網(wǎng)頁(yè)后，造成WEB客戶端被劫持的現(xiàn)象。一般情況下可以通過(guò)提高WEB客戶端的安全性來(lái)防止惡意網(wǎng)頁(yè)的干擾。2.WEB服務(wù)器的安全性配置Internet上存在大量的WEB服務(wù)器，但是有為數(shù)不少的WEB服務(wù)器本身存在很多的安全隱患，而這些隱患大多又是由于WEB服務(wù)器的配置不當(dāng)造成的，往往給WEB服務(wù)器造成一定的危害。為了提高WEB服務(wù)器的安全性，可以對(duì)WEB服務(wù)器進(jìn)行一些安全性配置或者利用其它的工具來(lái)實(shí)現(xiàn)（如SSL等）。三、實(shí)驗(yàn)要求采用以學(xué)生自主訓(xùn)練為主的開(kāi)放模式組織教學(xué)四、實(shí)驗(yàn)準(zhǔn)備瀏覽器安全簡(jiǎn)介，網(wǎng)頁(yè)病毒五、實(shí)驗(yàn)原理、方法和手段所有主機(jī)使用【快照】將虛擬機(jī)恢復(fù)到初始狀態(tài)。本實(shí)驗(yàn)2人1組，以主機(jī)A、主機(jī)B為例。任務(wù)一中主機(jī)A、主機(jī)B既是Web服務(wù)器端，又是Web客戶端，每個(gè)實(shí)驗(yàn)主機(jī)的操作都是對(duì)等的。任務(wù)二中主機(jī)A為Web服務(wù)器，主機(jī)B為Web客戶端。六、實(shí)驗(yàn)條件電子商務(wù)技術(shù)實(shí)驗(yàn)教學(xué)平臺(tái)七、實(shí)驗(yàn)步驟任務(wù)一、惡意網(wǎng)頁(yè)1.主機(jī)A、B分別啟動(dòng)IE瀏覽器，并相互訪問(wèn)對(duì)方的trouble.html頁(yè)面，具體為：在地址欄中輸入http://同組對(duì)方的IP地址/trouble.html。2.訪問(wèn)成功后，會(huì)10次打開(kāi)訪問(wèn)頁(yè)面的窗口。3.主機(jī)A、B關(guān)閉所有IE窗口。4.主機(jī)A、B再次打開(kāi)IE瀏覽器，瀏覽器會(huì)自動(dòng)訪問(wèn)網(wǎng)頁(yè)，如下圖所示，這說(shuō)明IE的默認(rèn)網(wǎng)頁(yè)被更改。圖1IE瀏覽器默認(rèn)主頁(yè)被篡改5.在打開(kāi)的IE中，選擇其“工具”菜單中的“Internet選項(xiàng)”，在彈出的“Internet選項(xiàng)”對(duì)話框中，可知IE主頁(yè)被設(shè)置為“”，并且將IE主頁(yè)相關(guān)設(shè)置置灰，從而不能再更改主頁(yè)，如下圖所示：圖2IE瀏覽器默認(rèn)主頁(yè)配置項(xiàng)被禁用6.由如上現(xiàn)象可以發(fā)現(xiàn)，用戶的IE瀏覽器被劫持，具體表現(xiàn)為：默認(rèn)首頁(yè)被修改、默認(rèn)首頁(yè)禁止修改、惡意窗口彈出和自動(dòng)網(wǎng)站訪問(wèn)等。由此可以推斷出，用戶可能不經(jīng)意間訪問(wèn)了某惡意網(wǎng)頁(yè)。7.恢復(fù)瀏覽器默認(rèn)配置，清除惡意網(wǎng)頁(yè)影響。(1)恢復(fù)IE默認(rèn)首頁(yè)的可修改性。單擊“開(kāi)始->運(yùn)行”菜單項(xiàng)，彈出“運(yùn)行”對(duì)話框，在“運(yùn)行”對(duì)話框中輸入“regedit”，打開(kāi)注冊(cè)表編輯器，將本地注冊(cè)表的鍵HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel\HomePage的值由1置為0，從而可對(duì)IE主頁(yè)進(jìn)行更改。(2)恢復(fù)IE默認(rèn)首頁(yè)為空白頁(yè)單擊“Internet屬性”對(duì)話框的“使用空白頁(yè)”按鈕，恢復(fù)IE默認(rèn)主頁(yè)為空白頁(yè)。8.IE瀏覽器增強(qiáng)安全性配置，防范惡意網(wǎng)頁(yè)感染。方法1：點(diǎn)擊“工具->Internet選項(xiàng)”，在彈出的對(duì)話框中選擇“安全”標(biāo)簽，再點(diǎn)擊“默認(rèn)級(jí)別”按鈕，移動(dòng)滑塊設(shè)置該區(qū)域的安全級(jí)別為：高；方法2：點(diǎn)擊“工具->Internet選項(xiàng)”，在彈出的對(duì)話框中選擇“安全”標(biāo)簽，再點(diǎn)擊“自定義級(jí)別”按鈕，就會(huì)彈出“安全設(shè)置”對(duì)話框，把其中所有ActiveX插件和控件以及與Java相關(guān)全部選項(xiàng)選擇“禁用”。經(jīng)過(guò)上面的設(shè)置，將ActiveX插件和控件、Java腳本等全部禁止，這樣就可以大大減少被網(wǎng)頁(yè)惡意代碼感染的幾率。9.IE瀏覽器防范惡意網(wǎng)頁(yè)安全性驗(yàn)證。主機(jī)A、主機(jī)B互相訪問(wèn)trouble.html頁(yè)面，經(jīng)驗(yàn)證，用戶IE瀏覽器未遭劫持，可見(jiàn)IE瀏覽器防范惡意網(wǎng)頁(yè)的安全性配置已生效。任務(wù)二、WEB服務(wù)器安全1.網(wǎng)站的身份驗(yàn)證配置(1)Web用戶匿名訪問(wèn)Web站點(diǎn)，測(cè)試Web網(wǎng)站是否可以匿名正常訪問(wèn)。主機(jī)B打開(kāi)IE瀏覽器，訪問(wèn)主機(jī)A的主頁(yè)“http://同組主機(jī)A的IP地址”，若此時(shí)可訪問(wèn)主機(jī)A的主頁(yè)，則說(shuō)明主機(jī)A的Web網(wǎng)站允許匿名訪問(wèn)（訪問(wèn)成功后主機(jī)B將會(huì)看到“恭喜您，訪問(wèn)Web服務(wù)器成功！”的頁(yè)面，HTTP協(xié)議的默認(rèn)TCP端口為80）。(2)在主機(jī)A上，依次點(diǎn)擊“開(kāi)始->所有程序->管理工具->Internet信息服務(wù)(IIS)管理器”。將目錄展開(kāi)進(jìn)入到如下圖所示的狀態(tài)：圖3指定配置網(wǎng)站(3)主機(jī)A右鍵點(diǎn)擊“默認(rèn)網(wǎng)站”，選擇“屬性”。如下圖所示：圖4配置網(wǎng)站屬性(4)在“默認(rèn)網(wǎng)站屬性”對(duì)話框中，選擇“目錄安全性”頁(yè)簽，并單擊“身份驗(yàn)證和訪問(wèn)控制”中的【編輯】按鈕。如下圖所示：圖5配置網(wǎng)站目錄安全性(5)對(duì)登錄用戶進(jìn)行身份驗(yàn)證的配置。在“身份驗(yàn)證方法”對(duì)話框中，將對(duì)“啟用匿名訪問(wèn)”項(xiàng)的選擇取消，并選中“用戶訪問(wèn)需經(jīng)過(guò)身份驗(yàn)證”中的“集成Windows身份驗(yàn)證”項(xiàng)，如下圖所示。此時(shí)其它用戶若訪問(wèn)主機(jī)A的網(wǎng)站，就必須擁有相應(yīng)的帳戶和口令。圖6取消網(wǎng)站匿名登錄并指定Windows身份驗(yàn)證(6)依次單擊上面對(duì)話框的【確定】按鈕，完成配置。(7)Web用戶訪問(wèn)Web站點(diǎn)，測(cè)試Web網(wǎng)站的配置是否滿足要求。主機(jī)B重新打開(kāi)IE瀏覽器，訪問(wèn)主機(jī)A的主頁(yè)“http://同組主機(jī)A的IP地址”，此時(shí)會(huì)提示需輸入用戶名和密碼。輸入用戶名“student”和密碼“123456”，即可訪問(wèn)主機(jī)A主頁(yè)，訪問(wèn)需要一些時(shí)間才能打開(kāi)網(wǎng)站。如果達(dá)不到實(shí)驗(yàn)效果，建議關(guān)閉IE瀏覽器，再重新打開(kāi)驗(yàn)證效果。2.IP地址限制的配置(1)主機(jī)A參照步驟1-(3)的方法打開(kāi)“默認(rèn)網(wǎng)站屬性”對(duì)話框，選擇“目錄安全性”頁(yè)簽，單擊“IP地址和域名限制”中的【編輯】按鈕，如下圖所示：圖7配置網(wǎng)站IP地址與域名限制安全性(2)在彈出的“IP地址和域名限制”對(duì)話框中，選中“拒絕訪問(wèn)”單選框，點(diǎn)擊“添加”按鈕，添加授權(quán)的主機(jī)。如下圖所示：圖8配置網(wǎng)站的IP地址訪問(wèn)限制(3)在彈出的“授權(quán)訪問(wèn)”對(duì)話框中，選中“一臺(tái)計(jì)算機(jī)”單選框，在“IP地址”中輸入所授權(quán)訪問(wèn)主機(jī)的IP地址，這里輸入的是主機(jī)B的IP地址（例2），如下圖所示。上述步驟的設(shè)置表示：僅授權(quán)主機(jī)B可以訪問(wèn)Web服務(wù)器，其它主機(jī)拒絕訪問(wèn)。設(shè)置完IP地址后，單擊“確定”按鈕。圖9授權(quán)特定主機(jī)訪問(wèn)WEB服務(wù)器(4)依次單擊上面對(duì)話框的【確定】按鈕，完成配置。(5)Web用戶訪問(wèn)Web站點(diǎn)，測(cè)試Web網(wǎng)站的配置是否滿足要求。主機(jī)B訪問(wèn)主機(jī)A的主頁(yè)“http://同組主機(jī)A的IP地址”，此時(shí)主機(jī)B是可以訪問(wèn)的；將主機(jī)B的IP進(jìn)行修改（注意：不要和其他主機(jī)發(fā)生IP地址沖突），這時(shí)主機(jī)B再訪問(wèn)主機(jī)A的主頁(yè)，會(huì)收到“您未被授權(quán)查看該頁(yè)”的提示，這說(shuō)明配置成功；測(cè)試完，將主機(jī)B的IP修改到原始的值。3.端口安全性的實(shí)現(xiàn)(1)主機(jī)A參照步驟1-(3)的方法打開(kāi)“默認(rèn)網(wǎng)站屬性”對(duì)話框，選擇“網(wǎng)站”頁(yè)簽，修改“TCP端口”的值為“888”，如下圖所示：圖10修改WEB服務(wù)默認(rèn)TCP端口(2)單擊上面對(duì)話框的【確定】按鈕，完成配置。(3)Web用戶訪問(wèn)Web站點(diǎn)，測(cè)試Web網(wǎng)站的配置是否滿足要求。主機(jī)B訪問(wèn)主機(jī)A的主頁(yè)“http://同組主機(jī)A的IP地址”，此時(shí)會(huì)收到“無(wú)法顯示網(wǎng)頁(yè)”的提示，表明端口的配置成功，已不是默認(rèn)的80了；主機(jī)B再次訪問(wèn)主機(jī)A的主頁(yè)“http://同組主機(jī)A的IP地址:888”，此時(shí)主機(jī)B是可以訪問(wèn)的。總結(jié)1.簡(jiǎn)述Web服務(wù)器存在的常見(jiàn)安全問(wèn)題。答：Web服務(wù)器存在的常見(jiàn)安全問(wèn)題有以下：來(lái)自服務(wù)器本身及網(wǎng)絡(luò)環(huán)境的安全，這包括服務(wù)器系統(tǒng)漏洞，系統(tǒng)權(quán)限，網(wǎng)絡(luò)環(huán)境（如ARP等）、網(wǎng)絡(luò)端口管理等，這個(gè)是基礎(chǔ)。來(lái)自WEB服務(wù)器應(yīng)用的安全，IIS或者Apache等，本身的配置、權(quán)限等，這個(gè)直接影響訪問(wèn)網(wǎng)站的效率和結(jié)果。網(wǎng)站程序的安全，這可能程序漏洞，程序的權(quán)限審核，以及執(zhí)行的效率，這個(gè)是WEB安全中占比例非常高的一部分。WEBServer周邊應(yīng)用的安全，一臺(tái)WEB服務(wù)器通常不是獨(dú)立存在的，可能其它的應(yīng)用服務(wù)器會(huì)影響到WEB服務(wù)器的安全，如數(shù)據(jù)庫(kù)服務(wù)、FTP服務(wù)等。2.任務(wù)中用到了哪些IIS的安全機(jī)制？答：1）網(wǎng)站的身份驗(yàn)證配置；2）IP地址限制的配置；3）端口安全性的實(shí)現(xiàn)。列舉幾種常用的網(wǎng)頁(yè)瀏覽器，并對(duì)它們的安全相關(guān)功能進(jìn)行總結(jié)。答：360安全瀏覽器：保存網(wǎng)頁(yè)密碼功能會(huì)把相關(guān)帳號(hào)、密碼記錄在本機(jī)上。同時(shí)在選項(xiàng)中，能顯示出保存的帳號(hào)及密碼，故請(qǐng)不要在公共電腦或他人的電腦上保存重要密碼。無(wú)痕瀏覽，徹底保護(hù)隱私任何歷史記錄、臨時(shí)文件都不會(huì)被保留。適合網(wǎng)吧、共用電腦等特殊場(chǎng)合。智能攔截惡意和釣魚(yú)網(wǎng)站動(dòng)態(tài)識(shí)別惡意代碼，實(shí)時(shí)攔截提示。超強(qiáng)安全模式和沙箱技術(shù)讓您放心瀏覽木馬網(wǎng)站不中招。IE瀏覽器：可以攔截惡意網(wǎng)站。百度瀏覽器：百度瀏覽器地址欄左邊會(huì)出現(xiàn)綠色的百度認(rèn)證標(biāo)識(shí)，點(diǎn)擊此處將顯示該網(wǎng)站在工信部的備案信息，此功能效防止釣魚(yú)網(wǎng)站欺詐。實(shí)驗(yàn)中所呈現(xiàn)的網(wǎng)頁(yè)病毒是十分簡(jiǎn)單的，針對(duì)它的安全性配置也是容易的，請(qǐng)收集相關(guān)資料，列舉出利用瀏覽器漏洞進(jìn)行網(wǎng)頁(yè)病毒攻擊的例子以及解決的方法，并將