Web安全实践实验

最新推荐文章于 2026-04-29 09:50:28 发布
原创 最新推荐文章于 2026-04-29 09:50:28 发布 · 2k 阅读 · 2 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#web #安全
本文详细介绍了Web安全实践实验,包括网站加密过程、使用openssl生成公钥和私钥的步骤,以及实验中遇到的问题和解决方法。通过实验,加深了对Linux、加密原理和Apache2配置的理解。

Web安全实践实验

一、网站加密过程简介

 

CA(Certificate Authority)       加密          网站

步骤:

1.CA给浏览器厂商发公钥

2.阿里把公钥给CA,CA用自己的私钥加密阿里的公钥,返回给阿里

3.用户用浏览器访问阿里的网站,阿里把用CA的私钥加密过的自己的公钥给用户

4.用户用浏览器中的CA公钥解密阿里公钥,正确配对则信任访问的网站

二、使用openssl生产上面所说的四个公钥和私钥

1.给CA生成公钥和私钥。建立一个根目录放置所有文件,这里选择了/home/lichking/ssl。private文件夹用于存放CA的私钥,certs文件夹用于存放server颁发的证书的副本,index.txt文件作为证书的数据库文件,serial文件作为颁布证书的序号,先使用01.

   mkdir ssl

   cd ssl

mkdir privatecerts

chmod 777private

touch index.txt

echo ‘01’>serial

 

 

如上图,然后创建一个CA配置文件caconfig.conf,内容如下(划线部分需要修改):

[ ca ]

default_ca = local_ca

[ local_ca ]

dir = /home/lichking/ssl

certificate = $dir/cacert.pem

database = $dir/index.txt

new_certs_dir = $dir/certs

private_key = $dir/private/cakey.pem

serial = $dir/serial

default_crl_days = 365

default_days = 1825

default_md = sha1

policy = local_ca_policy

x509_extensions = local_ca_extensions

copy_extensions = copy

[ local_ca_policy ]

commonName = optional

stateOrProvinceName = optional

countryName = optional

emailAddress = optional

organizationName = optional

organizationalUnitName = optional

[ local_ca_extensions ]

basicConstraints = CA:false

[ req ]

default_bits = 2048

default_keyfile = /home/lichking/ssl/private/cakey.pem

default_md = sha1

prompt = no

distinguished_name = root_ca_distinguished_name

x509_extensions = root_ca_extensions

[ root_ca_distinguished_name ]

commonName = MyOwn Root Certificate Authority

stateOrProvinceName = NC

countryName = US

emailAddress = root@tradeshowhell.com

organizationName = Trade Show Hell

organizationalUnitName = IT Department

[ root_ca_extensions ]

basicConstraints = CA:true

 

[local_ca]下,dir为之前创建的文件夹的上级目录,此处为/home/lichking,如图

 

[req]下,default_keyfile也需要修改,此处为/home/lichking/private/cakey.pem

生成CA证书:opensslreq –x509 –newkey rsa:2048 –out cacert.pem –outform PEM –days 365 –configcaconfig.conf。

系统会要求输入CA密码,这个密码会长生成服务器证书时使用。我使用了lichking作为密码。private下会生成cakey.pem

 

2.生成网站的公钥和私钥

先生成一个配置文件server.conf

输入指令gedit server.conf,把下面的内容粘贴进去。

[ req ]

prompt = no

distinguished_name= server_distinguished_name

req_extensions =v3_req

[server_distinguished_name ]

commonName =localhost

stateOrProvinceName= NC

countryName = US

emailAddress =root@tradeshowhell.com

organizationName= My Organization Name

organizationalUnitName= Subunit of My Large Organization

[ v3_req ]

basicConstraints= CA:FALSE

keyUsage =nonRepudiation, digitalSignature, keyEncipherment

subjectAltName =@alt_names

[ alt_names ]

DNS.0 =localhost

DNS.1 =localhost

 

输入openssl req –newkeyrsa:1024 –keyout serverkey.pem –keyform PEM –out tempreq.pem –outform PEM –configserver.conf

要求输入密码,我输了123。

 

3.使用CA的私钥对第二步生成的公钥进行加密。

openssl ca –intempreq.pem –out server_crt.pem –config caconfig.conf

tempreq.pem就是第二步生成的公钥,输出为server_crt.pem,就是要加入到浏览器中的公钥。输入第一步生成CA时使用的密码lichking

 

4.修改/etc/apache2/sites-avaiable中default-ssl文件的SSLCertificateFile和SSLCertificateKeyFile,前面是用CA私钥加密过的网站公钥,后面是网站的私钥。

SSLCertificateFile        /home/lichking/ssl/server_crt.pem

SSLCertificateKeyFile      /home/lichking/ssl/serverkey.pem

 

5.执行a2enmod ssl 和a2ensite default-ssl启动SSL模块,执行service apache2 restart重启服务器。要求输入服务器私钥,我输的是123。

 

6.在firefox浏览器的Edit->Preferences->Advanced->Encryption->ViewCertificates->Authorities中import CA的根证书/home/lichking/ssl/cacert.pem文件

 

在浏览器输入https://localhost,完成实验。

 

三、实验中遇到的问题

这次实验是web安全实践的第一个实验,有的同学才刚开始用Linux,十分不熟悉,所以可能会出很多问题。属于基本操作的问题我这里就不写了,下面写我遇到的两个问题。

1.输入service apache2 restart后,显示错误job forapache2.service failed……输入systemctl status apache2.service后出现下面画面。

 

问题分析:这可能是因为apache2设置引起的,输入apache2ctl –t 查看出现的问题。

 

解决方法:如上图,显示文件/etc/ssl/server_crt.pem不存在,可能是之前的第三步出现了问题,重新做一边第三步。

 

 

2.在浏览器输入https://localhost后出现下面的画面

 

 

问题分析:仔细查看浏览器给出的错误提示,发现是serial number不对。可能是生成的证书编号重复了。

 

解决方法:回去改index.txt中的序列号。或者重新生成一遍证书。

 

附录:给第一次使用apache2的朋友

安装apache2:sudoapt-get install apache2

/etc/apache2下是配置文件

ports.conf是监听的端口

sites-available是可用的站点

 

建立一个新网站:

1.      修改apache2下的apache2.conf,全部改成granted

2.      进入sites-available文件夹,打开000-default.conf,把DocumentRoot改成网站的文件夹

3.      a2ensite 000-default

4.      service apache2 restart

5.      打开firefox,输入localhost就可以看到自己的网站了。

四、实验感想

  说实话这个实验对于第一次接触Linux的人来说挺难的,很多命令都没明白就开始做实验了。这次实验开始前要做的工作有安装一个虚拟机à安装ubuntuà安装openssl和apache2。

之后才是正式的实验。通过这次实验可以体会到网站密钥的生成过程,同时提高对Linux的熟悉程度。我第一次做这个实验的时候做了两天吧,前前后后做了5、6次,教同学又做了好几次。web安全实践课程就这样开始了。

Web安全实验
08-01
理解XSS原理,SQL注入原理,掌握实际技能 ,掌握sql注入
web安全 防护实验
12-30
web安全防护实验,基于跨站脚本入侵的实验.doc
网络安全实验——web安全
weixin_58628068的博客
05-18 5693
XSS(Cross-Site Scripting)是一种常见的Web应用程序漏洞,攻击者可以通过注入恶意脚本来获取用户的敏感信息或者控制用户的账户。攻击者可以通过在输入框、URL参数等地方注入恶意脚本来实现XSS攻击。为了防止XSS攻击,应该对用户提交的数据进行过滤和转义,避免将用户输入的内容作为HTML或JavaScript代码直接输出到页面上。在盗取rookie(一个虚拟人物)的实验中,攻击者通过在评论中注入恶意脚本,来实现对rookie账户的控制。
【burpsuite安全练兵场-客户端16】测试WebSockets安全漏洞-3个实验(全)
热门推荐
01-17 1万+
【BP靶场portswigger-客户端16测试WebSockets安全漏洞】3个实验-万文详细步骤
3D视觉技术在萨能山羊体型自动化测量中的应用
最新发布
weixin_33733810的博客
04-29 352
3D视觉技术通过多视角相机阵列和深度传感器,能够高效、非接触地获取物体的三维信息。其核心原理包括点云重建、参数化建模和特征提取,在农业、工业检测等领域具有广泛应用价值。针对畜牧业中的动物体型测量需求,基于3D视觉的自动化方案相比传统人工方法,能显著提高测量效率和数据一致性。本文介绍的SaanenGoat参数化模型和DynamicFusion改进算法,特别优化了山羊乳房区域的三维重建精度,实现了体长、体高等关键指标的自动化测量,误差控制在3%以内。该技术可应用于牲畜育种、健康监测等场景,为精准畜牧业提供数据支
Fiddler抓包实验
l1174821243的博客
09-10 2752
实验一:Fiddler 修改User-Agent ,伪装客户端。 仿造实验一,模拟手机访问其他网站。 操作步骤:在菜单栏中找到Rules选项中的User-Agents选项,选择需要模拟的手机型号。 在浏览器中打开www.taobao.com显示的便是淘宝触屏版。 实验二:Fiddler 修改HTTP 请求。 在菜单栏中找到Rules选项中Automatic Breakpoint的Before Requests选项(表示拦截请求响应)。 在浏览器中搜索www.163.com 把...
《网络对抗》—— Web安全基础实践
2401_88326365的博客
12-25 1321
这次实验使用webgoat来分别尝试了XSS攻击、CSRF攻击、SQL注入攻击,感触还是很深。之所以能够进行这些攻击,不止是因为我们的web设计本身就有漏洞!还有我们在使用web的时候,太大意太疏忽了,没有想到会有一些危险的情况发生。
20145309李昊《网络对抗技术》实验9 web安全基础实践
weixin_30526593的博客
05-17 1318
实验在同学帮助下完成 一、实验准备 1.0 实验目标和内容 Web前端HTML。能正常安装、启停Apache。理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML。 Web前端javascipt。理解JavaScript的基本功能,理解DOM。编写JavaScript验证用户名、密码的规则。 Web后端:MySQL基础:正常安装、启动MySQL,建库、创建用...
20212303亢瑞锋 实验WEB安全实践
m0_62984455的博客
05-22 923
在编写JavaScript验证用户名、密码的规则,以及进行SQL注入和XSS攻击测试时,我意识到网络安全不仅仅是技术层面的问题,更是一种意识。通过这次学习,我意识到只有不断学习、不断更新自己的知识库,才能跟上这个领域的步伐。这样,我就可以在虚拟机中运行WebGoat,而我的主机则可以继续使用与BurpSuite兼容的Java版本。虽然这个解决方案可能稍显复杂,但我确实可以将WebGoat的jar包放到与其兼容的Java版本的目录中,并确保在启动WebGoat时使用正确的Java命令。
20155317王新玮《网络对抗技术》实验9 web安全基础实践
weixin_30919571的博客
05-24 112
20155317王新玮《网络对抗技术》实验9 web安全基础实践 一、实验准备 1.0 实验目标和内容 Web前端HTML。能正常安装、启停Apache。理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML。 Web前端javascipt。理解JavaScript的基本功能,理解DOM。编写JavaScript验证用户名、密码的规则。 Web后端:MySQL基...
《网络攻防》实验九:web安全基础实践
weixin_33978016的博客
05-19 177
本次实验在XX同学的指导下完成 1.实验后回答问题 (1)SQL注入攻击原理,如何防御 SQL注入攻击的基本原理,是从客户端合法接口提交特殊的非法代码,让其注入到服务器端执行业务的SQL中去,进而改变SQL语句的原有逻辑和影响服务器端正常业务的处理。 SQL注入攻击是Web应用中一个重要的安全问题,虽然Java具备较高的安全性,但如果开发人员不注意,也有可能留下安全隐患,请看示例: 执行验证的SQ...
JavaWeb实验 网站安全实践
Jiangxia13的博客
03-15 796
实验内容 【1】实现教材15.1的例子,以演示URL操作攻击实例。 【2】实现教材15.3的例子,以演示SQL注入攻击实例。 【3】利用【2】中的account表,实现教材15.4的例子,以演示密码加密实例并存库。
web安全(xss原理以及自制网页实现演练)
qq_66754192的博客
02-08 1101
在日常生活中,我们经常会遇到这样的情况:在浏览网页时,点击链接或提交表单后,浏览器突然跳转到一个完全陌生的网站。攻击者利用这一点,输入了一个包含恶意脚本的留言,该脚本在其他用户查看留言板时被执行,导致浏览器跳转到攻击者指定的网址。输入验证是抵御 XSS 攻击的第一道防线。XSS攻击是一种常见的网络安全威胁,它允许攻击者在合法的网页中注入恶意脚本,这些脚本在用户的浏览器上执行。随便输入,两个方框中都输入111,并点击提交留言,可以看到刚才输入的名字111和留言内容111都显示在下方,就是平时的评论功能。
新手入门:Web安全测试大盘点
软件自动化测试技术交流、资源分享
11-29 1449
随着互联网时代的蓬勃发展,基于Web环境下的应用系统、应用软件也得到了越来越广泛的使用
基于SSL的web安全访问实验报告
weixin_42418315的博客
07-14 2461
1、实验过程中遇到的问题及解决办法;(1)在用计算机B访问CA服务器IP时,一致显示无法访问页面,最后是由于没有添加应用程序服务器组件。(2)CA服务器颁布后,在证书中不显示,注意要安装证书后才算成功。(3)在选择受信任的根证书颁布机构时,找不到本地计算机,需要勾选显示物理存储区。(4)在计算机B中访问http://192.168.236.130,显示查看的站点没有默认页,这里需要注意的是iis默认文档上是index.htm而不是index.html。
web综合大实验!!!
weixin_51525416的博客
01-01 1618
web综合大实验!!!
web安全攻防渗透测试实战指南_web安全攻防渗透测试实战指南
baimao__Ch的博客
05-05 1532
网站系统内置WAF(在网站内内置的过滤,直接镶嵌在代码里,自由度比较高,有以下四种:①输入参数强制类型转换②输入参数合法性检测③关键函数执行,对经过代码流程的输入进行检测④对输入的数据进行替换过后再继续执行代码执行流程)网站系统内置的WAF与业务更加切合,在对安全与业务都比较了解的情况下,可更。文件上传漏洞概述:在现代互联网的我web应用程序中,上传文件是一种常见的功能,上传文件的时候如果服务器脚本语言对上传的文件进行严格的过滤就有可能上传恶意文件,从而控制整个网站,甚至是服务器。
WEB安全测试实战
软件质量优化
01-04 3035
一、常见WEB安全漏洞1、黑客技术分析2、常用黑客工具介绍3、WEB常见攻击方式 二、WEB安全漏洞检测1、HTTP安全测试2、URL查询字符串篡改、POST数据篡改、Cookie篡改、HTTP头篡改3、HTTP安全漏洞检查、常用工具、案例分析 4、跨站脚本攻击(XSS)方法、XSS原理剖析5、XSS攻防演练、案例分析6、XSS漏洞检查方法、工具、代码审查7、XSS造成的安全后果、如何预防XSS
信息安全 实验四、web安全
lzk的博客
05-29 1610
实验四、web安全 一、实验目的及要求 1.熟悉浏览器安全的方法; 2.了解网页编程中SQL注入手段和防范措施; 3.强化动态网页设计安全意识。 二、实验学时 2学时 三、实验任务 掌握浏览器与动态网页设计的安全技术手段 四、实验重点、难点 动态网页设计的安全技术 五、实验过程: 1、web浏览器比如IE浏览器的安全技术手段有哪些?请尽可能列出来。 答: 1.白名单 2.禁用或限制使用Java程序及ActiveX控件 3.防止泄露自己的信息 4.清除已浏览过的网址 5.清除已访问过的网页 6.永远不怕IE主
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值