《信息安全技術》實驗報告書實驗名稱：實驗一Internet應用風險專業：電子商務班級：1203班姓名：代常發學號：20124934指導老師：丁雷信息工程學院2015年5月

目錄一、實驗目的 2二、實驗內容 2三、實驗要求 3四、實驗準備 3五、實驗原理、方法和手段 3六、實驗條件 3七、實驗步驟 3任務一、惡意網頁 3任務二、WEB服務器安全 9八、總結 18實驗一 Internet應用風險一、實驗目的掌握IE瀏覽器的有關Cookie、Java、ActiveX等技術相關安全配置了解IE瀏覽器的安全漏洞了解Web服務器存在的安全問題掌握設置IIS服務器用戶身份驗證的方法掌握設置IIS服務器IP和域名限制的方法掌握更改通信端口的方法掌握使用SSL技術保證IIS服務器通信安全的方法了解FTP服務器存在的安全隱患掌握增強FTP服務器安全性的配置方法二、實驗內容1.WEB客戶端安全性配置Internet上存在的WEB服務五花八門，真假難辨，魚龍混雜。用戶常在訪問了某些惡意網頁后，造成WEB客戶端被劫持的現象。一般情況下可以通過提高WEB客戶端的安全性來防止惡意網頁的干擾。2.WEB服務器的安全性配置Internet上存在大量的WEB服務器，但是有為數不少的WEB服務器本身存在很多的安全隱患，而這些隱患大多又是由于WEB服務器的配置不當造成的，往往給WEB服務器造成一定的危害。為了提高WEB服務器的安全性，可以對WEB服務器進行一些安全性配置或者利用其它的工具來實現（如SSL等）。三、實驗要求采用以學生自主訓練為主的開放模式組織教學四、實驗準備瀏覽器安全簡介，網頁病毒五、實驗原理、方法和手段所有主機使用【快照】將虛擬機恢復到初始狀態。本實驗2人1組，以主機A、主機B為例。任務一中主機A、主機B既是Web服務器端，又是Web客戶端，每個實驗主機的操作都是對等的。任務二中主機A為Web服務器，主機B為Web客戶端。六、實驗條件電子商務技術實驗教學平臺七、實驗步驟任務一、惡意網頁1.主機A、B分別啟動IE瀏覽器，并相互訪問對方的trouble.html頁面，具體為：在地址欄中輸入http://同組對方的IP地址/trouble.html。2.訪問成功后，會10次打開訪問頁面的窗口。3.主機A、B關閉所有IE窗口。4.主機A、B再次打開IE瀏覽器，瀏覽器會自動訪問網頁，如下圖所示，這說明IE的默認網頁被更改。圖1IE瀏覽器默認主頁被篡改5.在打開的IE中，選擇其“工具”菜單中的“Internet選項”，在彈出的“Internet選項”對話框中，可知IE主頁被設置為“”，并且將IE主頁相關設置置灰，從而不能再更改主頁，如下圖所示：圖2IE瀏覽器默認主頁配置項被禁用6.由如上現象可以發現，用戶的IE瀏覽器被劫持，具體表現為：默認首頁被修改、默認首頁禁止修改、惡意窗口彈出和自動網站訪問等。由此可以推斷出，用戶可能不經意間訪問了某惡意網頁。7.恢復瀏覽器默認配置，清除惡意網頁影響。(1)恢復IE默認首頁的可修改性。單擊“開始->運行”菜單項，彈出“運行”對話框，在“運行”對話框中輸入“regedit”，打開注冊表編輯器，將本地注冊表的鍵HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel\HomePage的值由1置為0，從而可對IE主頁進行更改。(2)恢復IE默認首頁為空白頁單擊“Internet屬性”對話框的“使用空白頁”按鈕，恢復IE默認主頁為空白頁。8.IE瀏覽器增強安全性配置，防范惡意網頁感染。方法1：點擊“工具->Internet選項”，在彈出的對話框中選擇“安全”標簽，再點擊“默認級別”按鈕，移動滑塊設置該區域的安全級別為：高；方法2：點擊“工具->Internet選項”，在彈出的對話框中選擇“安全”標簽，再點擊“自定義級別”按鈕，就會彈出“安全設置”對話框，把其中所有ActiveX插件和控件以及與Java相關全部選項選擇“禁用”。經過上面的設置，將ActiveX插件和控件、Java腳本等全部禁止，這樣就可以大大減少被網頁惡意代碼感染的幾率。9.IE瀏覽器防范惡意網頁安全性驗證。主機A、主機B互相訪問trouble.html頁面，經驗證，用戶IE瀏覽器未遭劫持，可見IE瀏覽器防范惡意網頁的安全性配置已生效。任務二、WEB服務器安全1.網站的身份驗證配置(1)Web用戶匿名訪問Web站點，測試Web網站是否可以匿名正常訪問。主機B打開IE瀏覽器，訪問主機A的主頁“http://同組主機A的IP地址”，若此時可訪問主機A的主頁，則說明主機A的Web網站允許匿名訪問（訪問成功后主機B將會看到“恭喜您，訪問Web服務器成功！”的頁面，HTTP協議的默認TCP端口為80）。(2)在主機A上，依次點擊“開始->所有程序->管理工具->Internet信息服務(IIS)管理器”。將目錄展開進入到如下圖所示的狀態：圖3指定配置網站(3)主機A右鍵點擊“默認網站”，選擇“屬性”。如下圖所示：圖4配置網站屬性(4)在“默認網站屬性”對話框中，選擇“目錄安全性”頁簽，并單擊“身份驗證和訪問控制”中的【編輯】按鈕。如下圖所示：圖5配置網站目錄安全性(5)對登錄用戶進行身份驗證的配置。在“身份驗證方法”對話框中，將對“啟用匿名訪問”項的選擇取消，并選中“用戶訪問需經過身份驗證”中的“集成Windows身份驗證”項，如下圖所示。此時其它用戶若訪問主機A的網站，就必須擁有相應的帳戶和口令。圖6取消網站匿名登錄并指定Windows身份驗證(6)依次單擊上面對話框的【確定】按鈕，完成配置。(7)Web用戶訪問Web站點，測試Web網站的配置是否滿足要求。主機B重新打開IE瀏覽器，訪問主機A的主頁“http://同組主機A的IP地址”，此時會提示需輸入用戶名和密碼。輸入用戶名“student”和密碼“123456”，即可訪問主機A主頁，訪問需要一些時間才能打開網站。如果達不到實驗效果，建議關閉IE瀏覽器，再重新打開驗證效果。2.IP地址限制的配置(1)主機A參照步驟1-(3)的方法打開“默認網站屬性”對話框，選擇“目錄安全性”頁簽，單擊“IP地址和域名限制”中的【編輯】按鈕，如下圖所示：圖7配置網站IP地址與域名限制安全性(2)在彈出的“IP地址和域名限制”對話框中，選中“拒絕訪問”單選框，點擊“添加”按鈕，添加授權的主機。如下圖所示：圖8配置網站的IP地址訪問限制(3)在彈出的“授權訪問”對話框中，選中“一臺計算機”單選框，在“IP地址”中輸入所授權訪問主機的IP地址，這里輸入的是主機B的IP地址（例2），如下圖所示。上述步驟的設置表示：僅授權主機B可以訪問Web服務器，其它主機拒絕訪問。設置完IP地址后，單擊“確定”按鈕。圖9授權特定主機訪問WEB服務器(4)依次單擊上面對話框的【確定】按鈕，完成配置。(5)Web用戶訪問Web站點，測試Web網站的配置是否滿足要求。主機B訪問主機A的主頁“http://同組主機A的IP地址”，此時主機B是可以訪問的；將主機B的IP進行修改（注意：不要和其他主機發生IP地址沖突），這時主機B再訪問主機A的主頁，會收到“您未被授權查看該頁”的提示，這說明配置成功；測試完，將主機B的IP修改到原始的值。3.端口安全性的實現(1)主機A參照步驟1-(3)的方法打開“默認網站屬性”對話框，選擇“網站”頁簽，修改“TCP端口”的值為“888”，如下圖所示：圖10修改WEB服務默認TCP端口(2)單擊上面對話框的【確定】按鈕，完成配置。(3)Web用戶訪問Web站點，測試Web網站的配置是否滿足要求。主機B訪問主機A的主頁“http://同組主機A的IP地址”，此時會收到“無法顯示網頁”的提示，表明端口的配置成功，已不是默認的80了；主機B再次訪問主機A的主頁“http://同組主機A的IP地址:888”，此時主機B是可以訪問的。總結1.簡述Web服務器存在的常見安全問題。答：Web服務器存在的常見安全問題有以下：來自服務器本身及網絡環境的安全，這包括服務器系統漏洞，系統權限，網絡環境（如ARP等）、網絡端口管理等，這個是基礎。來自WEB服務器應用的安全，IIS或者Apache等，本身的配置、權限等，這個直接影響訪問網站的效率和結果。網站程序的安全，這可能程序漏洞，程序的權限審核，以及執行的效率，這個是WEB安全中占比例非常高的一部分。WEBServer周邊應用的安全，一臺WEB服務器通常不是獨立存在的，可能其它的應用服務器會影響到WEB服務器的安全，如數據庫服務、FTP服務等。2.任務中用到了哪些IIS的安全機制？答：1）網站的身份驗證配置；2）IP地址限制的配置；3）端口安全性的實現。列舉幾種常用的網頁瀏覽器，并對它們的安全相關功能進行總結。答：360安全瀏覽器：保存網頁密碼功能會把相關帳號、密碼記錄在本機上。同時在選項中，能顯示出保存的帳號及密碼，故請不要在公共電腦或他人的電腦上保存重要密碼。無痕瀏覽，徹底保護隱私任何歷史記錄、臨時文件都不會被保留。適合網吧、共用電腦等特殊場合。智能攔截惡意和釣魚網站動態識別惡意代碼，實時攔截提示。超強安全模式和沙箱技術讓您放心瀏覽木馬網站不中招。IE瀏覽器：可以攔截惡意網站。百度瀏覽器：百度瀏覽器地址欄左邊會出現綠色的百度認證標識，點擊此處將顯示該網站在工信部的備案信息，此功能效防止釣魚網站欺詐。實驗中所呈現的網頁病毒是十分簡單的，針對它的安全性配置也是容易的，請收集相關資料，列舉出利用瀏覽器漏洞進行網頁病毒攻擊的例子以及解決的方法，并將