Лабораторна робота 1. Лабораторна робота з Аудит інформаційної безпеки. Робота № 100103

Перехід до торгівельного партнера Binance

Лабораторна робота 1

Інформація про навчальний заклад

ВУЗ:

Національний університет Львівська політехніка

Інститут:

ІКТА

Факультет:

КН

Кафедра:

ЗІ

Інформація про роботу

Рік:

2024

Тип роботи:

Лабораторна робота

Предмет:

Аудит інформаційної безпеки

Варіант:

6 загальний

Завантажити

Частина тексту файла (без зображень, графіків і формул):

МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА» ІКТА кафедра ЗІ З В І Т до лабораторної роботи №1 з курсу: «Аудит інформаційної безпеки» на тему: «Встановлення OWASP WebGoat та базові засади роботи з веб-додатком» Варіант - 6 Львів 2021 ЗАВДАННЯ 1. Запустіть веб-додаток WebGoat та проксі-сервер WebScarab (інструкції щодо інсталяції та використання яких описані вище). 2. Переконайтесь, що налаштування проксі-сервера Вашого браузера відповідають вимогам, зазначеним вище. 3. Оберіть цікавий для Вас урок. В даному випадку ми обриємо урок «Numeric SQL Injection», розташований за посиланням: http://localhost:8080/WebGoat/attack?Screen=77&menu=1100. 4. У відкритому вікні WebScarab активуйте пункт «Intercept requests» та оберіть методи GET та POST (у випадку їхньої активності фон методів позначений синім кольором) (рис. Д1.6). Рис. Д1.6. Вікно WebScarab 5. Обираємо метеостанцію «Columbia» та клікаємо на кнопці «Go!». В цей час WebScarab 6. Уважно прочитайте опис завдання та підказки, зазначені на сторінці уроку. 7. В даному випадку представлена форма (рис. Д1.7) дозволяє перегляд погоди для обраної метеостанції. Необхідно модифікувати SQL-запит таким чином, щоб як результат ми отримали погоду всіх присутніх метеостанцій, тобто всі дані таблиці. Для здійснення SQL-запитів використовується наступний синтаксис команд: SELECT * FROM weather_data WHERE station = [station] перехоплює запит до сервера. Використовуючи можливості даного програмного забезпечення, ми змінюємо значення змінної station з 101 (це визначений для станції параметр) на 101 OR 1=1 та приймаємо дані зміни, натиснувши кнопку «Accept changers» (рис. Д2.8). Аудит інформаційної безпеки 7 практична робота №1 Рис. Д1.7. Урок Numeric SQL Injection Рис. Д1.8. Використання WebScarab для внесення змін в SQL-запит Аудит інформаційної безпеки 8 практична робота №1 8. Вираз 1=1 є завжди істиною (true), тому буде обрано всі дані з таблиці «weather_data». Власне результат представлений на рис. Д1.9 РЕЗУЛЬТАТИ ВИКОНАННЯ РОБОТИ 1. Встановлення WebGoat. / Рисунок 1. Розпакування архіву в робочу папку / Рисунок 2. Запуск аплікації / Рисунок 3. Відпрацювання Tomcat / Рисунок 4. Сторінка WebGoat / Рисунок 5. Встановлення WebScarab / Рисунок 6. Встановлення WebScarab в якості проксі-сервера / Рисунок 7. Налаштування WebScarab / Рисунок 8. Відправка нормального запиту / Рисунок 9. Відкриття веб-консолі / Рисунок 10. SQL-ін'єкція / Рисунок 11. Наслідки виконання SQL-ін'єкції Висновки: під час виконання даної практичної роботи було встановлено веб-аплікацію WebGoat та проксі-сервер WebScarab. Було успішно здійснено SQL-ін’єкцію на WebGoat, що призвело до видачі прихованих даних.

Лабораторна робота Аудит інформаційної безпеки

typuusait

06.04.2022 21:04-

Коментарі

Ви не можете залишити коментар. Для цього, будь ласка, або зареєструйтесь.

Ділись своїми роботами та отримуй миттєві бонуси!

Маєш корисні навчальні матеріали, які припадають пилом на твоєму комп'ютері? Розрахункові, лабораторні, практичні чи контрольні роботи — завантажуй їх прямо зараз і одразу отримуй бали на свій рахунок! Заархівуй всі файли в один .zip (до 100 МБ) або завантажуй кожен файл окремо. Внесок у спільноту – це легкий спосіб допомогти іншим та отримати додаткові можливості на сайті. Твої старі роботи можуть приносити тобі нові нагороди!

поділитись