网络基础信息及安全 10

任务1数据库用户与权限管理——项目九Web应用的安全配置课程设计和制作：

蓝永健电子工业出版社《网络信息安全基础》教材配套资源本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络信息安全基础（AIGC版）》出版社：电子工业出版社主编：蓝永健、徐龙泉副主编：高安邦、石晋阳、钟达夫参编：林俊生、黄超强、肖媚娇出版日期：2026年目录CONTENTS任务规划01相关知识02理解Web应用安全HTTP基础使用Wireshark过滤HTTP数据包子任务1捕获网站用户名和密码03子任务2加固建议和应对0401任务规划任务规划为了测试网站应用程序的安全性，要求对登录页面的表单安全性进行检测，判断网站管理员的用户名和密码是否会被拦截？如果发生被拦截，需要给出加固的方法和措施。小安选用Wireshark软件捕获目标网站的网络数据包，并自动解析HTTP的数据包，为用户显示数据包的详细信息，供用户对数据包进行分析。本任务的环境Windows10操作系统安装Wireshark4.2.6进行网络数据包捕获使用phpstudy8.1配置为测试服务器使用DBeaver管理数据库网站程序“CTF-DEMO”已经在教材配套素材中提供“02相关知识相关知识——2.1理解Web应用安全相关知识——2.1理解Web应用安全什么是Web应用的安全？Web应用的安全是保护网络服务在提供信息和交互功能时，能够有效防御各种安全威胁和攻击的一系列措施和策略。在数字化时代，Web应用已成为企业和个人获取信息、进行交易和服务的主要渠道。相关知识——2.1理解Web应用安全Web应用的架构和运行机制Web应用通常由前端界面、后端服务器和数据库等组件构成，它们通过网络协议进行通信和数据交换。在这个过程中，安全问题可能发生在任何环节，如客户端的浏览器、服务器端的应用程序、数据库管理系统等。相关知识——2.1理解Web应用安全Web应用面临的主要安全威胁包括但不限于SQL注入、跨站脚本攻击（XSS）、文件上传漏洞、会话劫持、分布式拒绝服务（DDoS）攻击、数据泄露、服务中断、恶意攻击等。相关知识——2.1理解Web应用安全加固Web应用安全的措施1）输入验证：确保用户输入的数据符合预期格式，防止恶意代码的注入。2）权限控制：实施基于角色的访问控制，确保用户只能访问其权限范围内的资源。3）数据加密：使用SSL/TLS等技术对数据传输进行加密，保护数据在传输过程中的安全。相关知识——2.1理解Web应用安全加固Web应用安全的措施4）安全审计：定期进行安全审计，发现并修复潜在的安全漏洞。5）错误处理：合理处理程序错误，避免泄漏敏感信息。6）更新和补丁管理：及时更新系统和应用程序，修补已知的安全漏洞。好学深思我国院士专家围绕网络安全发展情况、应用场景、存在问题、风险挑战等方面做出了巨大的贡献方滨兴是中国工程院院士、广州大学网络空间先进技术研究院荣誉院长，对网络安全有着深入的研究。方滨兴院士提出了“盾立方”护卫模式，该模式将防御重心从“关注保护对象安全”转变为“关注发现和阻断攻击者”，为国家网络安全防护提供了新思路和新方法。他在网络安全领域的贡献，充分展示了中国在网络入侵防范和攻防对抗技术方面的深厚实力和智慧。相关知识——2.2HTTP基础相关知识——2.2HTTP基础什么是B/S架构？B/S框架（Browser/Server）：浏览器/服务器模式，是Web应用的主流架构方式。在这种架构中，用户通过浏览器（如Chrome、Firefox）作为客户端，与服务器进行交互。服务器端负责处理业务逻辑和数据存储，客户端则负责展示结果。相关知识——2.2HTTP基础什么是C/S架构？C/S架构（Client/Server）：客户端/服务器模式，是一种传统的软件架构方式。在这种架构中，用户需要安装专门的客户端软件来与服务器进行通信。C/S架构：B/S架构：相关知识——2.2HTTP基础什么是HTTP和HTTPS：HTTP：超文本传输协议（HypertextTransferProtocol），是Web应用的基础协议，用于客户端和服务器之间的信息传输。HTTP传输的数据大多是未加密的明文形式，存在比较大的安全隐患。为了保证隐私信息的加密传输，通常使用HTTPS来代替HTTP。HTTPS：安全超文本传输协议（HypertextTransferProtocolSecure），在HTTP的基础上增加了SSL/TLS加密层，确保数据传输的安全性。HTTPS适用于需要加密传输的场景，如网银、电商等。相关知识——2.2HTTP基础什么是URL格式：URL：统一资源定位符（UniformResourceLocator），用于标识互联网上资源的位置，也就是平时所说的完整网址。格式：scheme://host:port/path?query_string#fragment相关知识——2.2HTTP基础什么是URL格式：示例：:8080/path/to/resource?query=123#sectionscheme：协议类型，如http或https。host：服务器域名或IP地址。port：服务器端口，默认80（http）或443（https）。path：资源路径。query_string：查询字符串，用于传递参数。fragment：页面内定位。相关知识——2.2HTTP基础URL格式与Web服务器文件路径：相关知识——2.2HTTP基础HTTP请求：HTTP请求由客户端发起，包含请求行、请求头（Headers）和请求体（Body）三部分。请求行包括请求方法（如GET、POST）、请求的资源URL和HTTP协议版本。相关知识——2.2HTTP基础HTTP请求头的示例和解析：相关知识——2.2HTTP基础HTTP响应：HTTP响应由服务器返回给客户端，包含状态行、响应头（Headers）和响应体（Body）三部分。状态行包括HTTP协议版本、状态码和状态消息。状态码用于表示请求的处理结果，如200表示成功，404表示未找到资源。响应头同样包含了一系列键值对，用于控制响应或传递附加信息。响应体则包含了实际的数据内容。相关知识——2.2HTTP基础HTTP响应头的示例和解析：相关知识——2.2HTTP基础HTTP状态码：HTTP状态码是一系列用于表示服务器对请求处理结果的数字代码。分类描述1xx信息性状态码，表示请求已被接收，继续处理2xx成功状态码，表示请求已成功被服务器接收、理解、并接受3xx重定向状态码，表示需要客户端采取进一步的操作才能完成请求4xx客户端错误状态码，表示请求包含语法错误或无法完成请求5xx服务器错误状态码，表示服务器在处理请求的过程中发生了错误5种HTTP状态码相关知识——2.2HTTP基础HTTP状态码：HTTP状态码是一系列用于表示服务器对请求处理结果的数字代码。状态码描述200OK，请求成功301MovedPermanently，永久重定向302Found，临时重定向404NotFound，未找到资源500InternalServerError，服务器内部错误常见HTTP状态码举例相关知识——2.2HTTP基础HTTP请求方法：HTTP定义了多种请求方法，用于指示服务器执行不同的操作。在实际使用中常使用的是GET方法和POST方法。请求方法描述GET请求指定的页面信息，并返回实体主体POST向指定资源提交数据进行处理请求（例如提交表单或者上传文件）数据被包含在请求体中PUT向指定资源位置上传其最新内容DELETE请求服务器删除Request-URL所标识的资源HEAD类似于GET请求，但返回的响应中没有具体的内容，用于获取报头。OPTIONS允许客户端查看服务器的性能。HTTP请求方法相关知识——2.2HTTP基础GET方法和POST方法的区别：1）用途与功能：GET方法主要用于从服务器获取资源，通常用于读取数据，其请求参数直接附加在URL之后。而POST方法则主要用于向服务器提交数据，常用于新增数据、提交表单等场景，其请求参数包含在请求体中。2）安全性：GET方法由于将参数暴露在URL中，因此安全性较低，不适合传输敏感信息。相比之下，POST方法将参数放在请求体中，对外不可见，因此安全性较高。相关知识——2.2HTTP基础GET方法和POST方法的区别：3）数据量限制：GET方法由于URL长度的限制（通常浏览器和服务器对URL长度有所限制，但并非HTTP协议本身的限制），传输的数据量相对较小。而POST方法则没有这样的限制，可以传输较大的数据量，适用于文件上传等场景。4）缓存与书签：GET请求可以被浏览器缓存，并保留在浏览器历史记录中，还可以被收藏为书签。而POST请求则不会被缓存（除非手动设置），也不会保留在浏览器历史记录中，且不能被收藏为书签。相关知识——2.2HTTP基础GET方法和POST方法的区别：5）回退与刷新：在浏览器中，GET请求的回退操作是无害的，因为只是重新请求之前的资源。但POST请求的回退则可能导致数据被重新提交。同样，GET请求的刷新操作只是重新获取资源，而POST请求的刷新则可能导致数据被重复提交。相关知识——2.3使用Wireshark过滤HTTP数据包相关知识——2.3使用Wireshark过滤HTTP数据包在Wireshark中过滤HTTP请求是一个常见的需求，它可以帮助用户快速定位和分析网络流量中的HTTP通信。相关知识——2.3使用Wireshark过滤HTTP数据包一些常用过滤的请求：1）GET请求：http.request.method=="GET"2）POST请求：http.request.method=="POST"3）通过指定的host头来过滤与特定主机相关的HTTP流量：http.host=="指定的主机名"4）过滤具有特定状态码的HTTP响应：http.response.code==状态码来找出所有返回特定状态码的HTTP响应。5）过滤包含特定URI的请求：http.request.uricontains"部分URI"规则过滤请求URI中包含特定内容的HTTP请求。6）过滤具有特定用户代理的HTTP请求：http.user_agentcontains"7）滤特定类型的内容：http.content_typecontains8）包含特定字符串的URI：http.request.uricontains"特定字符串"9）精确匹配URI：http.request.uri=="/具体路径"相关知识——2.3使用Wireshark过滤HTTP数据包一些常用过滤的请求——举例：相关知识——2.3使用Wireshark过滤HTTP数据包一些常用过滤的请求——举例：相关知识——2.3使用Wireshark过滤HTTP数据包组合过滤条件：可以使用逻辑运算符（如AND、OR、NOT）来组合多个过滤条件。1）同时满足两个条件：条件1&&条件2例如，要过滤出既是GET请求又包含“user”字符串的URI，可以使用http.request.method=="GET"&&http.request.uricontains"user"。2）满足任一条件：条件1||条件2例如，要过滤出所有GET或POST请求，可以使用http.request.method=="GET"||http.request.method=="POST"。相关知识——2.3使用Wireshark过滤HTTP数据包组合过滤条件——举例：假设想要过滤出所有对特定网站（如）的GET请求，并且这些请求的URI中包含“user”字符串，可以使用以下过滤规则：http.host==""&&http.request.method=="GET"&&http.request.uricontains"user"相关知识——2.3使用Wireshark过滤HTTP数据包组合过滤条件——举例：03子任务1子任务1-1捕获网站用户名和密码为了测试网站应用程序的安全性，要求对登录页面的表单安全性进行检测，判断网站管理员的用户名和密码是否会被拦截。选用Wireshark软件捕获目标网站的网络数据包，并自动解析HTTP的数据包，为用户显示数据包的详细信息，供用户对数据包进行分析。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请