




下載本文檔
版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
常見的軟件漏洞教學(xué)設(shè)計(jì)題目常見的軟件漏洞授課專業(yè)學(xué)情分析了解學(xué)生的基礎(chǔ)理論知識(shí)、技能水平以及他們對軟件漏洞的認(rèn)識(shí)程度。確定教學(xué)的具體目標(biāo),例如,學(xué)生應(yīng)該掌握哪些類型的軟件漏洞,如何發(fā)現(xiàn)和防御這些漏洞,以及如何通過實(shí)驗(yàn)來加深理解。教學(xué)目標(biāo)通過學(xué)習(xí),學(xué)生能夠識(shí)別和描述常見的軟件漏洞類型以及如何進(jìn)行軟件漏洞復(fù)現(xiàn)。過程與方法在教學(xué)過程中,應(yīng)該注重理論與實(shí)踐相結(jié)合。通過課堂講解、案例分析和實(shí)驗(yàn)操作等方式,讓學(xué)生在實(shí)踐中學(xué)習(xí)和體驗(yàn)網(wǎng)絡(luò)安全的重要性。情感態(tài)度與價(jià)值觀使學(xué)生認(rèn)識(shí)到系統(tǒng)漏洞對個(gè)人、組織和社會(huì)經(jīng)濟(jì)的影響,培養(yǎng)起高度的安全意識(shí)和終身學(xué)習(xí)的習(xí)慣。教學(xué)重點(diǎn)了解常見的幾種軟件漏洞及漏洞復(fù)現(xiàn)教學(xué)難點(diǎn)如何進(jìn)行漏洞復(fù)現(xiàn)教學(xué)方法采用多樣化的教學(xué)方法,如講授、討論、合作學(xué)習(xí)、案例分析等,以適應(yīng)不同學(xué)生的學(xué)習(xí)需求和偏好。同時(shí),利用現(xiàn)代教育技術(shù)手段,如多媒體教學(xué)、網(wǎng)絡(luò)模擬等,提高教學(xué)效果。持續(xù)更新學(xué)生了解如何獲取最新的安全動(dòng)態(tài)和技術(shù)更新,以保持自己的知識(shí)和技能與時(shí)俱進(jìn)。教學(xué)過程教學(xué)內(nèi)容課堂組織一、案例引入列舉例子,展示了軟件漏洞的多樣性和嚴(yán)重性,以及它們對個(gè)人和組織安全的潛在影響。告訴學(xué)生我們應(yīng)該保持警惕,定期更新軟件,以減少安全風(fēng)險(xiǎn)。二、新課講解1.ChromiumV8引擎漏洞(1)概述ChromiumV8引擎漏洞通常指的是安全漏洞,黑客可以利用這些漏洞執(zhí)行惡意代碼或繞過安全限制。這些漏洞可能會(huì)導(dǎo)致數(shù)據(jù)泄露、拒絕服務(wù)攻擊、遠(yuǎn)程代碼執(zhí)行等安全問題。(2)漏洞復(fù)現(xiàn)(1)下載舊版Chrome瀏覽器。(2)關(guān)閉沙盒模式(3)準(zhǔn)備精心構(gòu)造的惡意地址(4)使用瀏覽器打開惡意地址(5)成功執(zhí)行calc(計(jì)算器)命令。2.ApacheShiro反序列化漏洞(1)概述ApacheShiro是Java的一個(gè)安全框架,具有身份驗(yàn)證、授權(quán)、加密、會(huì)話管理等功能。ApacheShiro反序列化漏洞分為兩種:Shiro-550和Shiro-721。(2)漏洞復(fù)現(xiàn)(1)使用Docker搭建漏洞環(huán)境,命令:dockerrun-d-p8088:8080medicean/vulapps:s_shiro_1(2)發(fā)送POC來驗(yàn)證漏洞是否存在。(3)成功執(zhí)行whoami命令(打印與當(dāng)前有效用戶ID關(guān)聯(lián)的用戶名)。3.Log4j2遠(yuǎn)程代碼執(zhí)行漏洞(1)概述由于Log4j2在處理程序日志記錄時(shí)存在JNDI注入缺陷,未經(jīng)授權(quán)的攻擊者可以向目標(biāo)服務(wù)器發(fā)送精心構(gòu)造的惡意數(shù)據(jù),觸發(fā)Log4j2組件解析缺陷,實(shí)現(xiàn)目標(biāo)服務(wù)器的任意代碼執(zhí)行,獲得目標(biāo)服務(wù)器權(quán)限。(2)漏洞復(fù)現(xiàn)(1)使用Docker搭建存在漏洞的Log4j2環(huán)境,命令如下:dockerpullvulfocus/log4j2-rce-2021-12-09dockerrun-p8190:8080-ivulfocus/log4j2-rce-2021-12-09(2)利用POC檢測漏洞是否存在。(3)獲取一個(gè)DNSLog地址。(4)運(yùn)行JNDI-Injection-Exploit.jar。(5)發(fā)送請求。(6)查看DNSLog結(jié)果。4.SpringBoot遠(yuǎn)程代碼執(zhí)行漏洞(1)概述2022年3月31日,VMwareTanzu發(fā)布漏洞報(bào)告,SpringFramework存在遠(yuǎn)程代碼執(zhí)行漏洞,在JDK9+上運(yùn)行的SpringMVC或SpringWebFlux應(yīng)用程序可能容易受到通過數(shù)據(jù)綁定的遠(yuǎn)程代碼執(zhí)行的攻擊。(2)漏洞復(fù)現(xiàn)(1)使用Docker搭建漏洞環(huán)境,命令如下:dockerpullvulfocus/spring-core-rce-2022-03-29:latestdockerrun-p8888:8080-ivulfocus/spring-core-rce-2022-03-29(2)使用POC檢測漏洞是否存在。(3)使用剛剛寫入的木馬執(zhí)行命令。5.WebLogic反序列化漏洞(1)概述WebLogic的wls9-async等組件為WebLogicServer提供異步通信服務(wù),默認(rèn)應(yīng)用于WebLogic部分版本。由于該WAR包在反序列化處理輸入信息時(shí)存在缺陷,攻擊者通過發(fā)送精心構(gòu)造的惡意HTTP請求,即可獲得目標(biāo)服務(wù)器的權(quán)限,在未授權(quán)的情況下遠(yuǎn)程執(zhí)行命令。(2)漏洞復(fù)現(xiàn)(1)搭建WebLogic項(xiàng)目。(2)發(fā)送POC驗(yàn)證漏洞是否存在。(3)連接Webshell。(4)執(zhí)行whoami命令三、思政課堂教育學(xué)生認(rèn)識(shí)到軟件漏洞的嚴(yán)重性,培養(yǎng)他們的安全意識(shí)和責(zé)任感,使他們能夠在未來的工作中更好地應(yīng)對安全挑戰(zhàn)。在學(xué)習(xí)軟件漏洞時(shí),還需要考慮到相關(guān)的法律法規(guī)和倫理問題,確保學(xué)生在實(shí)踐中遵守法律和道德標(biāo)準(zhǔn)。四、課堂小結(jié)1.ChromiumV8引擎漏洞2.ApacheShiro反序列化漏洞3.Log4j2遠(yuǎn)程代碼執(zhí)行漏洞4.SpringBoot遠(yuǎn)程代碼執(zhí)行漏洞5.W
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 髖關(guān)節(jié)置換術(shù)后護(hù)理要點(diǎn)
- 協(xié)會(huì)和社區(qū)共建協(xié)議書
- 長期員工勞務(wù)協(xié)議書
- 冰淇淋門店托管協(xié)議書
- 保安試用期合同協(xié)議書
- 鄰里解決糾紛協(xié)議書
- 雇員簽定免責(zé)協(xié)議書
- 資質(zhì)服務(wù)托管協(xié)議書
- 銷售代理軟件協(xié)議書
- 兩個(gè)幼兒園合并協(xié)議書
- 2025屆福建省漳州市高三第三次教學(xué)質(zhì)量檢測生物試卷(解析版)
- 2025年茶葉加工工職業(yè)技能競賽參考試題庫500題(含答案)
- 2025甘肅陜煤集團(tuán)韓城煤礦招聘250人筆試參考題庫附帶答案詳解
- 2025-2030年中國溫泉特色酒店行業(yè)市場深度調(diào)研及發(fā)展趨勢與投資前景預(yù)測研究報(bào)告
- 醫(yī)療器械網(wǎng)絡(luò)銷售質(zhì)量管理規(guī)范宣貫培訓(xùn)課件2025年
- SL631水利水電工程單元工程施工質(zhì)量驗(yàn)收標(biāo)準(zhǔn)第1部分:土石方工程
- DL∕T 5370-2017 水電水利工程施工通 用安全技術(shù)規(guī)程
- 廣東省2024年中考數(shù)學(xué)試卷【附真題答案】
- (高清版)TDT 1075-2023 光伏發(fā)電站工程項(xiàng)目用地控制指標(biāo)
- 監(jiān)控立桿基礎(chǔ)國家標(biāo)準(zhǔn)
- 使役動(dòng)詞的用法以及50道練習(xí)題(附答案)
評(píng)論
0/150
提交評(píng)論