web第五版实验5.1

信息安全实验报告实验名称：WebGoat的安装、使用、演示学号：2012221104210104姓名：邓申仁专业年级：2012级计算机科学与技术教师姓名：宋建华2015年 6 月 15日1、实验目的通过对用于web漏洞实验的应用平台WebGoat和代理软件WebScarab的使用，可以完成前面五关的通关即Introduction、General、Access Control Flaws、AJAX Security、Aauthentication Flaws等关。

2、实验原理用一个web浏览器去访问一个web站点，并对其进行攻击，为了方便实验，这个站点实际就是建立在我们所在机器上的Apache Tomcat，我们可以将其看成一个远程的站点，在实验过程中使用Firefox浏览器。

3、实验环境在虚拟机下安装Windows Server 2008的操作系统，在系统中配置jdk，安装Webgoat和WebScarab4、实验内容和步骤WebGoat的前期准备1.1WebGoat的的介绍和部署WebGoat是用于进行web漏洞实验的应用平台，用来说明web应用中存在的安全问题，本次试验是将WebGoat运行在虚拟机上。

1.2WebScarab的介绍WebScarab是一种用来分析由浏览器提交到服务器的请求，以及服务器对浏览器做出的响应的程序框架，也可以当做一个代理，我们可以通过它来查看、分析、修改、创建所截取的浏览器与服务器之间的请求与响应，也可以用来分析HTTP与HTTPS协议1.3安装与配置1.3.1安装和运行WebGoat的前提是JRE环境的支撑，首先安装jdk。

安装完后在java安装路径下C:\Program Files\Java\jdk1.7.0_67\bin可以看到如下图：1.3.2安装WebScarab.jar双击文件按照向导进行安装，安装完成后打开图如下：1.3.3可以在网上下载Webgoat，并将其解压到相应目录在解压文件夹中找到“WebGoat-6.0.1-war-execbat”,并运行，如下图：1.3.4在浏览器中输入http://localhost:8080/WebGoat/ 现如下图所示的，输入用户名和密码guest登录1.3.5使用WebScarab之前在浏览器的设置里将代理设置为localhost，端口号是80081、Introduction（介绍）登录进去Webgaot页面出现出下图界面：点击introduction列表可以看到里面有对交我们如何使用webgoat，Tomcat的认证，有用的通关工具，怎样进行通关，点击查看后每个会出现绿色”√”，解决方法看Solution如下图所示：2、General（综合）3.1Http Basics（HTTP基本常识）操作方法：在浏览器中设置一个localhost的代理，然后启动WebScarab我们需要在拦截“Intercept”选项选择拦截请求“Intercept request”的新窗口中，可以找到参数“person”，完成本次通关。

实验五JSP页面结构与指令标记应用实验目的：（1）掌握JSP页面的基本结构和创建方法（2）理解JSP指令标记、动作标记和自定义标记的基本要点（3）熟练掌握三个主要指令标记：page、include和taglib标记的功能和使用方法，tag文件的制作和自定义标记的调用实验内容：（1）使用JSP技术在浏览器中输出四行由大变小的文字。

参考程序如下：<%@ page contentType="text/html; charset=GB2312"%><html><head><title>JSP页面</title></head><body><%--JSP中的注释语句--%><center><%="<font size=4 color=red>字体由大变小显示</font>"%></center><br><hr><br><div align="center"><%//使用Java语言的for循环语句控制输出字体的大小for(inti=1; i<=4; i++ )out.println( "<h" + i + ">Web技术应用基础</h" + i + ">" );%></div></body></html>（2）使用include包含一个静态文件。

具体有两个JSP页面：includeAction.jsp和hello.jsp。

在hello.jsp文件中输出一行文字“Hello World!”,在includeAction.jsp文件中利用include指令将该文件包含进来。

WebSphere课程介绍的知识和实际经验。

并能够使用Commerce Studio 供的开发工具定制一个商店。

本课程的重点是提供商店开发者所需要的一些基本知识，以用来设计一个基本的e-commerce 站点。

本课程的课程讲解占40%，上机实习占60%。

授课对象网页设计者，和使用WebSphere Commerce Suite 版本 5.1 开发和定制一个e-commerce 站点的开发人员。

预备知识∙对I BM WebSphere Commerce Suite 版本 5.1 有一定的了解∙参见了WebSphere Studio Workshop (AD60)∙有Web 设计和HTML 的经验∙具有JAVA 编程技术授课内容∙WebSphere 家族产品介绍∙Web 应用程序体系结构∙Web 服务器和HTTP 服务器∙IBM WebSphere Studio∙使用版本控制系统∙IBM WebSphere Page Designer∙基本动态内容的概念∙Web 应用程序：o描述WebSphere Commerce Suite 体系结构，并使用开发工具创建一个在线商店o描述一个商店的组件，并讲授如何创建和出版一个商店o使用WebSphere Commerce Suite 处理购物流，创建或修改购物流程o使用WebSphere Commerce Suite databeans在JSP 中显示WebSphere Commerce Suite数据o定制一个商店，包含：目录信息、注册和登录、地址本、订单处理、个性化、拍卖和产品导购o在商店页中使用HotMedia布到Web服务器上供用户浏览。

课程中重点介绍IBM WebSphere Studio V4.0 以及相关的产品和专题，包括WebSphere Page Designer,Applet Designer和Web 服务器的概念。

学习使用每个工具时WebSphere Stidio 工具是如何交互的以及在设计友好的Web 站点时要考虑的因素。

实验一认识WireShark(2009-11-27 12:51:47)转载分类：实验练习标签：杂谈一、实验目的1、了解WireShark的界面2、了解WireShark的抓取设置3、了解WireShark抓取包的基本组成二、实验环境与因特网连接的计算机网络系统；主机操作系统为windows；WireShark、IE 等软件。

三、实验步骤1、熟悉界面（1）第一部分是菜单和工具栏，Ethereal提供的所有功能都可以在这一部分中找到。

（2）第二部分是被捕获包的列表，其中包含被捕获包的一般信息，如被捕获的时间、源和目的IP地址、所属的协议类型，以及包的类型等信息。

（3）第三部分显示第二部分已选中的包的每个域的具体信息，从以太网帧的首部到该包中负载内容，都显示得清清楚楚。

（4）第四部分显示已选中包的16进制和ASCII表示，帮助用户了解一个包的本来样子。

2、抓包(1)选择“Capture”菜单项中的“Option”,这时会弹出一个对话框，如下所示。

这个对话框中的栏目虽然很多，但一般只需配置其中两项。

一项是“Capture Filter”栏。

在这个栏中，可以输入过滤规则，用于规定Ethereal捕获包的种类；如果不输入过滤规则，则Ethereal将捕获所有从网卡发送或收到的包。

另外一项是“Update list of packets in real time”选项，请大家一定要选中这一项，这样可以使Ethereal在捕获包的同时，实时地把捕获的包显示出来。

(2)在完成如上配置后，点击“Start”按钮，Ethereal便开始捕获包。

3、对所抓取的TCP数据包解释帧号时间源地址目的地址高层协议包内信息概况No. Time Source Destination Protocol Info1 0.000000 202.203.44.225 202.203.208.32 TCP 2764 > http [SYN]Seq=0 Len=0 MSS=1460 源端口>目的端口[请求建立TCP链接]---------------------------------------------------------------------------------------------------以下为物理层的数据帧概况Frame 1 (62 bytes on wire, 62 bytes captured) 1号帧，线路62字节，实际捕获62字节Arrival Time: Jan 21, 2008 15:17:33.910261000 捕获日期和时间[Time delta from previous packet:0.00000 seconds]此包与前一包的时间间隔 [Time since reference or first frame: 0.00 seconds]此包与第1帧的间隔时间 Frame Number: 1 帧序号Packet Length: 62 bytes 帧长度Capture Length: 62 bytes 捕获长度[Frame is marked: False] 此帧是否做了标记：否[Protocols in frame: eth:ip:tcp] 帧内封装的协议层次结构[Coloring Rule Name: HTTP] 用不同颜色染色标记的协议名称：HTTP [Coloring Rule String: http || tcp.port == 80] 染色显示规则的字符串：---------------------------------------------------------------------------------------------------以下为数据链路层以太网帧头部信息Ethernet II, Src: AcerTech_5b:d4:61 (00:00:e2:5b:d4:61), Dst:Jetcell_e5:1d:0a (00:d0:2b:e5:1d:0a)以太网协议版本II，源地址：厂名_序号（网卡地址），目的：厂名_序号（网卡地址）Destination: Jetcell_e5:1d:0a (00:d0:2b:e5:1d:0a) 目的：厂名_序号（网卡地址）Source: AcerTech_5b:d4:61 (00:00:e2:5b:d4:61) 源：厂名_序号（网卡地址） Type: IP (0x0800) 帧内封装的上层协议类型为IP（十六进制码0800）---------------------------------------------------------------------------------------------------以下为互联网层IP包头部信息Internet Protocol, Src: 202.203.44.225 (202.203.44.225), Dst:202.203.208.32 (202.203.208.32) 互联网协议，源IP地址，目的IP地址Version: 4 互联网协议IPv4（请参考书上P122页IPv4数据报字段结构）Header length: 20 bytes IP包头部长度Differentiated Services Field:0x00(DSCP 0x00:Default;ECN:0x00)差分服务字段Total Length: 48 IP包的总长度Identification:0x8360 (33632) 标志字段Flags: 标记字段（在路由传输时，是否允许将此IP包分段，教材125页） Fragment offset: 0 分段偏移量（将一个IP包分段后传输时，本段的标识） Time to live: 128 生存期TTLProtocol: TCP (0x06) 此包内封装的上层协议为TCPHeader checksum: 0xe4ce [correct] 头部数据的校验和Source: 202.203.44.225 (202.203.44.225) 源IP地址四、实验报告内容在实验的基础上，回答以下问题：描述一下WireShark的设置选项，比如如何设置选定网卡，如何设置过滤器等；实验二802.3协议分析和以太网(2009-11-27 13:59:04)转载分类：实验练习标签：杂谈一、实验目的1、分析802.3协议2、熟悉以太网帧的格式二、实验环境与因特网连接的计算机网络系统；主机操作系统为windows；WireShark、IE等软件。

基于WEB的实验室管理系统的设计与实现摘要：高校的实验室管理是高校教学管理中的一项重要内容。

为了提高学校的实验室管理水平，采用php为前台开发工具，mysql 为后台数据库，研发了一个实验室管理系统，它主要完成对全校实验室资源进行统一管理，管理员情况实时记录，让学校实验室资源得到更加充分合理有效的使用和分配等功能。

系统实现了实验室管理的信息化、网络化、规范化和科学化，使实验室管理人员及时、准确、全面地掌握实验室使用情况，使实验室管理员从繁杂的记录、汇总中解脱出来，提升了管理的效率和实验室资源的利用率。

关键词：实验室管理；信息系统；实验室资源使用；php；mysql 中图分类号：tp311 文献标识码：a 文章编号：1009-3044（2013）14-3226-03随着学校的发展以及课程需求的变化，学校的实验室越来越多。

虽然学校成立了“计算中心”这个专门部门来管理学校的实验室，但是因为管理还处于人工手动管理的方式，所以导致实验室的使用情况不能及时的反馈，教师对实验室的需求不能得到及时的满足，实验室管理员的工作量大，工作效率低等一系列问题。

为了解决这些问题，更好地管理实验室特此研发了这个基于web的在线实验室管理系统。

1 系统分析1.1 系统实现目标此实验室管理系统是一个网络化、现代化web系统，它通过集中式的数据库将各种管理信息结合起来，达到数据共享、提高效率、改进管理等目的。

本系统使实验室管理人员更加科学有效地开展实验室管理，以及让领导准确及时了解实验室使用情况、实验室利用率、固定资产拥有情况、设备故障情况及实验室工作人员的工作情况等。

从而减轻实验室管理人员的工作强度，提高实验室设备利用率和实验室管理水平，更加科学合理的使用实验室。

1.2 系统任务描述我们根据系统的实现目标来确定信息系统的总体结构规划方案，具体系统设计和开发过程如图1所示。

1.3 系统开发工具系统基于b/s模式，采用php和html为前台开发语言，mysql为后台数据库，apache2.2为web服务器，进行系统的开发。