您的位置:360文档中心› 信息安全实验课程一(软件安全、web安全)实践教学大纲4 -汪洁

信息安全实验课程一(软件安全、web安全)实践教学大纲4 -汪洁

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

实践项目编号:001

实践项目名称:缓冲区溢出漏洞实验

实践学时:8

参考资料:

(1)Aleph One. Smashing The Stack For Fun And Profit.Phrack 49, V olume 7, Issue 49. Available at /people/faculty/tkprasad/courses/cs781/alephOne.html

(2)Notes on Non-Executable Stack.

(3)SEED实验室

一、实践目的或任务

通过指导学生上机实践,让学生对缓冲区溢出攻击的基本原理有更深刻的认识,并熟悉缓冲区溢出的攻击过程。

二、实践教学基本要求

1.了解实验目的及实验原理;

2.进行缓冲区溢出攻击;

3.总结在实验过程中遇到的问题、解决办法和收获。

三、实践教学的内容或要求

1. 分析具有缓冲区溢出漏洞的代码程序;

2. 自己编写程序尝试对具有漏洞的程序进行攻击;

3. 分析已有的缓冲区溢出攻击程序,并对漏洞进行攻击;

4.分析实验结果。

四、实践类型或性质

编写程序及验证性

五、实践要求

实践项目001-006选做1题。

六、实践所需仪器设备

1.计算机(内网联网状态)

2.相关软件(虚拟机、Ubuntu操作系统)

实践项目编号:002

实践项目名称:Return-to-libc攻击实验

实践学时:8

参考资料:

(1)Aleph One. Smashing The Stack For Fun And Profit.Phrack 49, V olume 7, Issue 49. Available at /~tkprasad/courses/cs781/alephOne.html

(2)SEED实验室

一、实践目的或任务

通过指导学生上机实践,让学生对Return-to-libc 攻击的基本原理有更深刻的认识,并熟悉Return-to-libc 攻击过程。

二、实践教学基本要求

1.了解实验目的及实验原理;

2.进行Return-to-libc 攻击

3.总结在实验过程中遇到的问题、解决办法和收获。

三、实践教学的内容或要求

1. 分析具有漏洞的代码程序;

2. 自己编写程序尝试对具有漏洞的程序进行攻击;

3. 分析已有的Return-to-libc程序,并对漏洞进行攻击,获得root权限;

4.使用保护机制来对抗缓冲区溢出攻击;

5.分析实验结果。

四、实践类型或性质

编写程序及验证性

五、实践要求

实践项目001-006选做1题。

六、实践所需仪器设备

1.计算机(内网联网状态)

2.相关软件(虚拟机、Ubuntu操作系统)

实践项目编号:003

实践项目名称:环境变量和set-uid实验

实践学时:8

参考资料:

(1)/~wedu/seed/Labs_12.04/Software/Environment_Variable_and _SetUID/files/setuid.pdf

(2)Chen, Wagner, and Dean.

(3)

(4)SEED实验室

一、实践目的或任务

通过指导学生上机实践,让学生对set-uid的基本原理有更深刻的认识,并熟悉

set-uid编程过程。

Set-uid是Unix操作系统的一个重要的安全机制。当设定uid程序运行时,它假定所有人拥有特权。例如,如果程序的所有者是root权限,当任何人运行这个程序,程序将获得root权限。Set-uid允许我们做很多有趣的事情,但这也是许多坏事情的罪魁祸首。这个实验的目的是让学生理解这些特权程序面临什么样的风险。

二、实践教学基本要求

1.了解实验目的及实验原理;

2.进行set-uid 代码的编写

3.总结在实验过程中遇到的问题、解决办法和收获。

三、实践教学的内容或要求

1. 分析set-uid的代码程序;

2. 自己编写set-uid程序;

3. 理解这些特权程序面临什么样的风险以及如果有错误代码如何攻击。

4.分析实验结果。

四、实践类型或性质

编写程序及验证性

五、实践要求

实践项目001-006选做1题。

六、实践所需仪器设备

1.计算机(内网联网状态)

2.相关软件(虚拟机、Ubuntu操作系统)

实践项目名称:竞争条件(Race-Condition)漏洞实验

实践学时:8

参考资料:

(1)SEED实验室

一、实践目的或任务

当多个进程并发访问和操作同样的数据时,会发生竞争条件的情况。竞争的结果依赖于访问发生的特定顺序。如果一个特权程序有竞争条件漏洞时,攻击者运行一个并行的进程来与特权程序竞争,从而改变该程序的行为。通过指导学生上机实践,让学生理解竞争条件漏洞,并学会保护程序免受竞争条件漏洞攻击。

二、实践教学基本要求

1.了解实验目的及实验原理;

2.进行攻击代码的编写

3.总结在实验过程中遇到的问题、解决办法和收获。

三、实践教学的内容或要求

1. 分析具有Race-Condition漏洞的源程序;

2. 读懂实验给出的攻击程序,并对漏洞进行攻击;

3. 使用保护机制来对抗Race-Condition漏洞攻击;

4. 分析实验结果。

四、实践类型或性质

编写程序及验证性

五、实践要求

实践项目001-006选做1题。

六、实践所需仪器设备

1.计算机(内网联网状态)

2.相关软件(虚拟机、Ubuntu操作系统)

相关文档
最新文档