Web開發課程中“入侵與防范”教學方法研究

張繼紅 陳小全

摘要:本文提出在Web開發課程的“入侵與防范”教學過程中,采用橫向聯系和縱向深入教學方法、啟發式教學方法,培養學生動手能力,鼓勵學生創新,使學生學習的積極主動性得到發揮;通過“任務驅動式”和分層架構教學方法,使學生盡快掌握所學知識,注重培養學生動手能力,取得了較好的教學效果。

關鍵詞:攻擊;防范;教學方法

中圖分類號:G642 文獻標識碼:B

1引言

Internet的開放性使得Web系統面臨入侵攻擊的威脅,Web開發課程中需要講解如何建立一個安全的Web系統?Web程序被安裝在一臺或多臺(分布式)Web服務器上,一旦安裝成功,就等于在為廣大用戶提供服務的同時,給入侵者打開了一條或N條新的通路。除了服務器管理員對安全進行配置和漏洞掃描外,Web程序在開發過程中也需要考慮入侵攻擊與防范。道高一尺,魔高一丈,安全漏洞是不斷發展的,有新的應用出來,就會出現新的漏洞。絕大多數公司部署了防火墻,防火墻的職責是保護“大門”,但是攻擊者如果從別的途徑進入,防火墻也很難處理。所以,Web應用攻擊就是黑客開始尋找新的攻擊方法中的一種。Web應用攻擊之所以與其他攻擊不同,是因為它們很難被發現,而且可能來自任何在線用戶,甚至是經過驗證的用戶。

通過Web開發課程中“入侵與防范”的講授,使學生了解Web系統中存在的安全風險與威脅,掌握Web安全的基本知識和技術,并使學生能夠初步具備提高Web系統安全意識與掌握安全防范技術的基礎。該課程的教學內容包括如下幾個方面:

(1) 客戶機的漏洞,主要內容包括對客戶端驗證的攻擊。

(2) 基于狀態的攻擊,主要內容包括隱藏域、CGI參數、破壞Cookie、URL跳躍以及會話劫持。

(3) SQL注入,主要內容包括常見數據庫漏洞、創建SQL注入檢測的數據庫平臺、搭建SQL注入漏洞站點、SQL注入攻擊測試、卡住SQL注入的關口、存儲過程的SQL注入。

(4) 配置安全的Web服務器,主要內容包括數據庫的安全防護、Access數據庫防下載處理、SQL數據庫的配置、對網頁木馬后門的防范和檢測、網頁木馬后門查找工具、設置網站訪問權限。

2教學方法

Web開發課程中“入侵與防范”是學生比較感興趣的內容,課程涉及的內容比較多,如何使學生掌握關鍵的Web安全技術,具備初步的Web開發中安全防范能力?我們在講課中就教學方法進行了一些具體研究。

2.1橫向聯系和縱向深入教學方法研究

2.1.1橫向聯系的教學方法

Web開發課程中在講授客戶端驗證需要注意的安全問題時,采用橫向聯系的教學方法,分別講授了:Windows身份驗證、Forms身份驗證、Passport身份驗證。

(1) Windows身份驗證

在 ASP.Net應用程序中,Windows 身份驗證將 Microsoft Internet 信息服務(IIS)所提供的用戶標識視為已經過身份驗證的用戶。IIS 提供了大量用于驗證用戶標識的身份驗證機制,其中包括匿名身份驗證、Windows 集成的 (NTLM)身份驗證、Windows集成的(Kerberos)身份驗證、基本(base64編碼)身份驗證、摘要式身份驗證以及基于客戶端證書的身份驗證。

在ASP.Net中,使用 WindowsAuthenticationModule 模塊來實現 Windows 身份驗證。該模塊根據 IIS 所提供的憑據構造一個 WindowsIdentity對象,并將該標識設置為該應用程序的當前 User 屬性值。

Windows身份驗證是ASP.Net應用程序的默認身份驗證機制,并被標識為使用 authentication配置元素的應用程序的身份驗證模式,如下面的示例所示。

(2) Forms身份驗證

Forms身份驗證提供了一種方法,使您可以使用自己的代碼對用戶進行身份驗證,然后將身份驗證標記保留在 Cookie 或頁的URL中。Forms身份驗證通過Forms AuthenticationModule參與ASP.Net頁的生命周期。可以通過FormsAuthentication類訪問Forms身份驗證信息和功能。通過Forms身份驗證,可以使用所創建的登錄窗體驗證用戶的用戶名和密碼。未經過身份驗證的請求被重定向到登錄頁,用戶在該頁上提供憑據和提交窗體。如果應用程序對請求進行了驗證,系統會頒發一個票證,該票證包含用于重建后續請求的標識的密鑰。

(3)Passport身份驗證

Passport身份驗證是由 Microsoft 提供的集中身份驗證服務,該服務為成員站點提供單一登錄和核心配置文件服務。Passport 是基于 Cookie 的身份驗證服務。使用 Passport 身份驗證的示例事務對話的工作方式如下:

客戶端向受到保護的資源(如 http://www.contoso.com/ default.aspx)發出HTTP GET請求。

檢查客戶的Cookie是否具有現有的Passport身份驗證票。如果站點找到有效的憑據,則站點對該客戶進行身份驗證。如果請求不包括有效的身份驗證票,則服務器返回狀態代碼 302 并將客戶重定向到Passport登錄服務。響應在查詢字符串中包含一個URL,該URL被發送到 Passport 登錄服務以便將客戶定向回原始站點。客戶端執行重定向操作,再向Passport登錄服務器發出HTTP GET請求,然后傳輸來自原始站點的查詢字符串信息。Passport 登錄服務器向客戶提供登錄窗體。客戶端填寫窗體,并使用安全套接字層(SSL)將 POST發送回登錄服務器。登錄服務器對用戶進行身份驗證并將客戶重定向回原始URL。響應在查詢字符串中包含一個加密的Passport Cookie。客戶遵循重定向并再次請求原始的受保護資源,這一次使用 Passport Cookie。起始服務器上的 PassportAuthenticationModule 會檢測是否存在 Passport Cookie,并測試身份驗證。如果成功,則該請求通過身份驗證。

2.1.2縱向深入的教學方法

講授ASP.Net網站安全時采用縱向深入、逐步擴展的教學方法:操作系統安全、IIS安全、數據庫的安全。

操作系統安全內容包括:

(1) 在第一時間下載安裝微軟的補丁程序

(2) 安裝防火墻

(3) 安裝防病毒軟件

(4) 不要在服務器上執行管理功能以外的功能

IIS安全內容包括:

(1) 將IIS的默認Web站點從c:intepub更改到其他卷

(2) 確保應用程序使用低權限的本地服務帳戶運行ASP.NET代碼

(3) 設置Web目錄的訪問權限

數據庫的安全內容包括:

(1) 將SQL Server安裝在NTFS分區上

(2) 安裝當時發布的最新服務器包和修補程序

(3) 給sa帳戶設置足夠復雜的密碼

編程時需要注意的安全問題也采用縱向深入的教學方法,內容如下:身份驗證、輸入有效的驗證(利用內置的驗證控件或自行定義,阻止不符合規范的數據的提交)、使用參數化的存儲過程、輸出數據進行HTML編碼、信息加密存儲。

2.2采用了啟發式教學方法

針對Web開發課程中“入侵與防范”的涉及內容多、學時數少的特點,我們采用了啟發式教學方法,發揮學生主動性,鼓勵學生自學一些內容。在課程內容安排上先講解Web系統遇到的威脅、分析入侵的原因,然后對各種Web系統攻擊技術進行深入的介紹與分析,并給以詳細的攻擊演示,使學生能夠對Web系統攻擊技術有一個整體的認識,對Web安全技術產生興趣。在隨后的Web安全技術的講解中,精心設計教學課件,關鍵部分采用了案例教學,使學生能夠深刻理解學習內容,激發學生的學習興趣,取得了良好的教學效果。這門課程涉及內容比較廣泛,為避免“填鴨式”的教學方法,我們采用了啟發式教學方法。針對Web入侵出現的一些現象提出問題,鼓勵學生分析問題和解決問題的思路,引導學生學會表達、學會傾聽,學生回答問題后給予贊揚和指點,使學生養成積極思考的習慣。

2.3運用“任務驅動式”教學方法

“任務驅動”教學方法提倡教師指導下的、以學生為中心的學習。在整個教學過程中教師起組織者、指導者、幫助者和促進者的作用,利用情境、協作、會話等學習環境要素充分發揮學生的主動性、積極性和創造性,最終達到使學生有效地實現對當前所學知識的意義建構的目的。“任務驅動”教學法的主要特點是“任務驅動,注重實踐”。它很適合Web開發課程中“入侵與防范”的教學,因為該課程大多是實踐性很強的課程,要求學生既要學好理論知識,又要掌握實際操作技能。同時由于這些課程知識內容更新很快,要求學生必須具有一定的自主學習能力與獨立分析問題、解決問題能力,才能適應信息時代與學科知識發展的特點。

合理分解任務是任務驅動教學法的關鍵。分解任務是將一個大的任務分成若干個子任務,再將子任務往下分,直到每個子任務可操作或執行為止。在這些子任務中,有很多是以前沒學過的知識或技能技巧,即隱含了新的知識點,這時就需要引發學生的積極性和探究問題(任務)的欲望,教師就得使用各種信息技術手段,創設任務情景,通過講解、示范等多種教學方法,盡量不讓學生對任務產生太大的畏難以致抵觸情緒。教師要做到讓學生在情境中學習,在任務的分解過程中獲取知識,提高分析問題的能力。如“攻”、“防”是大任務,大任務下有三個一級的子任務:網站入侵的常見手法、流行網站入侵手法與防范、遠程攻擊入侵網站與防范、網站源代碼安全分析與測試,在四個子任務中又分別有若干個二級子任務。在教學時,先讓學生完成一個個二級子任務,學生可自由發揮,教師指導。隨著任務分析的深入細致,使“攻”、“防”大任務不斷完整,結構不斷清晰。這實際上是將教學的內容拆解為一個個的“任務”,逐步地展示、布置給學生了。然后綜合每人的“任務”成果,從而了解網站入侵的全部過程。在此過程中,教師可以給出一些實例以供參考,讓學生產生感性認識,知道這些功能或任務是可以通過學習完成的。這樣可以逐步消除對完成任務的畏懼感,樹立信心,使教學過程得以順利進行。

2.4分層架構教學方法

我在講授ASP.Net和JSP課程中涉及到Web的安全問題,例如:JSP采用MVC模式分層架構(STRUTS框架)進行開發,就可以把所有的文件分開,根據其用途,分別放在不同的文件夾下(分層),每個文件夾下的文件只負責自己的事情。例如數據訪問層的代碼就放在數據訪問層的文件夾下,業務邏輯層的代碼也都放在自己的文件夾下,當顯示層(這一層是為了把最終的運算結果顯示給用戶看)的需求發生變化,就像前面的客戶需求,我們只要修改這一層的文件就是了,其他層的代碼根本不需要動,而修改者也不需要懂得其它層的代碼。代碼分層了,意味著漏洞也在跟著分層,我們尋找JSP漏洞的思路也要跟著分層,才能與時俱進。

3結束語

本文從課程教學實際出發,對Web開發課程中“入侵與防范”教學過程中的教學方法進行了一些具體研究。教學不僅要傳授給學生知識,更重要的是培養他們分析問題和解決問題的能力。Web安全是計算機學科的一個新方向,Web應用攻擊之所以與其他攻擊不同,是因為它們很難被發現,而且可能來自任何在線用戶,甚至是經過驗證的用戶。很多技術在現有的教科書中都沒有涉及。在教學過程中,注重和學生的思想交流,鍛煉他們的動手能力,從“攻”、“防”兩個角度,通過現實中的入侵實例,并結合原理性的分析,展現Web系統入侵與防御的全過程,激發他們的創造思維。根據同學自身的特點,有針對性地進行指導。注重發揮學生的積極主動性,創造機會使學生發揮自己的價值。

參考文獻:

[1]Simson Garfinkel,Gene Spafford .Web安全與電子商務(影印版)[M]. 2版. 北京:清華大學出版社,2002.

[2]Steven Splaine. Testing Web Security:Assessing the Security of Web Sites and Applications[M]. 李昂,王梅蓉,金旭,譯. 北京:機械工業出版社,2003.

[3]William Stalllings.網絡安全基礎應用與標準[M].3版. 白國強,譯. 北京:清華大學出版社,2007.