云南大学软件学院PKI体系与CA技术实验2

云南大学软件学院实验报告课程：数据库原理与实用技术实验学期： 2012-2013学年第二学期任课教师：专业：学号：姓名：成绩：实验4 数据查询一、实验目的理解T-SQL语言的使用；熟练掌握数据查询语句；掌握合计函数的使用。

二、实验内容1、CAP数据库的查询（记录每个查询的SQL语句和查询结果）（1）建立CAP数据库，输入C、A、P、O四张表；图表 1 创建cap数据库图表 2创建四个表图表 3向表中插入数据图表 4表的内容（2）完成课后习题[3.2]b、[3.5]、[3.8]a,b、[3.11]b,f,j,l[3.2] (b)Retrieve aid values of agents who receive the maximum percent commission.图表 5最高佣金百分率[3.5] Consider the problem to find all (cid, aid) pairs where the customer does not place an order through the agent. This can be accomplished with the Select statementselect cid, aidfrom customers c. agents awhere not exists(select * from orders x where x.cid = c.cid and x.aid =a.aid) ;Is it possible to achieve this result using the NOT IN predicate in place of the NOT EXISTS predicate with a single Subquery? With more than one Subquery? Explain your answer and demonstrate any equivalent form by execution.图表 6 3.5 not in[3.8](a) Write a Select statement with no WHERE clause to retrieve all customer cids and the maximum money each spends on any product. Label the columns of the resulting table: eid, MAXSPENT.图表 7 3.8(b) Write a query to retrieve the AVERAGE value (over all customers) of the MAXSPENT of query (a)图表 8 3.8（b）[3.11] (b) We say that a customer x orders a product y in an average quantity A if A is avg(qty) for all orders rows with cid = x and pid = y. Is it possible in a single SQL statement to retrieve cid values of customers who order all the products that they receive in average quantities (by product) of at least 300?图表 9 3.11 (b)(f) Get pid values of products that are ordered by all customers in Dallas.图表 10 3.11 (f)(j) Use a single Update statement to raise the prices of all products warehoused in Duluth or Dallas by 10%. Then restore the original values byrerunning the procedure that you originally used to create and load the products table.图表 11 3.11 (j)(l) Write an SQL query to get aid and percent values of agents who take orders from all customers who live in Duluth. The aid values should be reported in order by decreasing percent. (Note that if percent is not retrieved in the select list, we cannot order by these values.)图表 12 3.11 (i)2、Employee数据库的查询（记录每个查询的SQL语句和查询结果）（1）向表中插入数据。

云南大学软件学院综合技能实践——《常用开发平台的安装和使用》实验指导书指导教师：梁宇蔡莉（注意：请先简要阅读实验指导书的要求再开始做实验）第一部分 JSP开发环境的搭建一、实验目的：1．掌握JSP开发环境搭建的具体步骤和操作方法。

2．掌握在JSP开发环境下创建一个简单JSP文件的方法。

3．掌握在JSP中创建虚拟目录的方法。

二、实验内容预习一、JSP概述JSP(Java Server Pages，Java服务器主页)技术为创建显示动态生成内容的Web页面提供了个简捷而快速的方法。

JSP技术的设计目的使得构造基于Web 的应用程序更加容易和快捷，这些应用程序能够与各种Web服务器、应用服务器、浏览器和开发工具共同工作。

JSP的明显优势如下：平台和服务器的独立性。

基于Java的JSP与平台无关，它可以使用任何web服务器(包括Apache、IIS和PWS)。

使用的脚本语言。

JSP使用Java作为它的脚本语言，其面向对象的编程思想较为优秀。

JSP跨平台的可重用性。

J3P组件(Enterprise JavaBeans，JavaBeans)都是跨平台可重用的。

EJB(Enterprise JavaBeans，企业级JavaBeans)组件可以访问传统的数据库，并能以分布式系统模式工作于UNIX 和Windows平台。

多样化和功能强大的开发工具支持。

JSP已经有了许多非常优秀的开发工具而是有许多可以免费获取，且其中行许多开发工具已经可以顺利地运行于多种平台之下。

二、建立JSP的运行环境由于JSP使用Java作为程序设计脚本语言，因此需要建立Java的运行环境。

编译和调试运行Java程序，需要安装JDK(Java Develop Kit，Java开发工具包)。

另外，JSP是基于Web的Java应用程序，因而它需要有特定的运行环境，即解释器。

由于Java语言是跨平台的，所以能解释Java语言的Web服务器与平台无关。

云南大学软件学院期末课程报告Final Course ReportSchool of Software, Yunnan University个人成绩学期: 2015学年上学期课程名称: 专业实训1任课教师: 刘璟实践题目: 网络攻防小组长:联系电话:电子邮件:完成提交时间：《专业实训（1）》期末课程报告成绩考核表年级： 2013级专业：信息安全学号：姓名：本人所做工作：使用Metasploit进行网络渗透、撰写第一，四章文档注：该表每人一份，附在封面之后，小组成员的排列次序与封面一致。

《专业实训（1）》期末课程报告成绩考核表年级： 2013 专业：信息安全学号：姓名：本人所做工作： SQL 注入攻击、撰写第二，三，五章文档、整合修改文档注：该表每人一份，附在封面之后，小组成员的排列次序与封面一致。

《专业实训（1）》期末课程报告成绩考核表年级： 2013 专业：信息安全学号：姓名：本人所做工作：漏洞扫描注：该表每人一份，附在封面之后，小组成员的排列次序与封面一致。

《专业实训（1）》期末课程报告成绩考核表年级： 2013 专业：信息安全学号：姓名：本人所做工作：情报搜集注：该表每人一份，附在封面之后，小组成员的排列次序与封面一致。

目录第一章渗测试介绍 (9)1.1定义 (9)1.2必要性 (9)1.3测试方法分类 (11)1、黑箱测试 (11)2、白盒测试 (11)3、隐秘测试 (11)1.4 发展 (11)第二章工具介绍 (13)2.1Metasploit (13)2.1.1简介 (13)2.1.2特点 (13)2.1.3发展历史 (13)2.1.4发展前景 (14)2.2Kali Linux (14)2.2.1简介 (14)2.2.2特点 (15)2.2.3发展历史 (16)2.3Metasploit Framework (16)2.3.1简介 (16)2.3.2特点 (16)第三章渗透漏洞原理 (17)3.1 SQL注入攻击 (17)3.1.1 简介 (17)3.1.2原理 (17)3.1.3攻击 (17)3.1.4注入方法 (18)3.2旁注攻击 (20)3.2.1简介 (20)3.2.2工具 (21)3.2.3过程 (22)3.3 IISput (22)3.3.1简介 (22)3.3.2WebDav (22)3.3.3标准HTTP协议支持六种请求方法 (22)3.4heartbleed (23)3.4.1简介 (23)3.4.2技术原理 (24)获取密码 (24)入侵技术 (24)检测工具 (24)第四章攻击流程 (26)4.1用Metasploit进行网络渗透 (26)4.2 web应用程序渗透测试 (32)4.3 对广西大学数学与信息科学学院的入侵 (38)第五章各类攻击防护 (41)5.1SQL注入攻击防护 (41)5.1.1普通用户与系统管理员用户的权限要有严格的区分 (41)5.1.2强迫使用参数化语句。

云南大学软件学院实验报告课程：计算机网络原理实验任课教师：刘春花，刘宇姓名：学号：专业：成绩：实验二应用层协议分析实验报告1．实验目的：分析HTTP协议报文的首部格式，理解HTTP协议的工作过程；分析DNS的工作过程。

2．实验环境：（1）连入Internet的主机一台（2）主机安装Ethereal软件3．实验步骤：a.下载一个非常简单的HTML文件（该文件不嵌入任何对象），利用Ethereal软件分析HTTP 协议。

（1）启动Web browser。

清空浏览器的缓存。

（2）启动Ethereal，开始Ethereal分组俘获。

（3）在打开的Web browser窗口中可输入下列地址之一✓/ethereal-labs/HTTP-ethereal-file1.html✓/ethereal-labs/HTTP-ethereal-file2.html✓/ethereal-labs/HTTP-ethereal-file3.html✓/IETF-Standards-Process.html✓/~danr/courses/6761/Fall00/✓/rfc-index.html✓/rfc/rfc959.txt✓/CurrQstats.txt✓/ietf/1bof-procedures.txt浏览器中将显示一个只有一行或多行文字的非常简单的HTML文件。

（4）停止分组俘获。

在显示过滤筛选说明处输入“http”,分组列表子窗口中将只显示所俘获到的HTTP报文。

将捕获结果保存为test1。

（5）根据结果回答下列问题回答实验a的问题。

实验b.下载一个含多个嵌入对象的网页，利用Ethereal软件分析HTTP协议。

（1）启动浏览器，将浏览器的缓存清空。

（2）启动Ethereal分组俘获器。

开始Ethereal分组俘获。

（3）在浏览器的地址栏中输入某个地址，（需要满足该地址下的网页是包含多个内嵌对象即可)。

（4）停止Ethereal分组俘获，在显示过滤筛选说明处输入“http”,分组列表子窗口中将只显示所俘获到的HTTP报文。

pki体系所遵循的国际标准概述及解释说明1. 引言1.1 概述PKI是公钥基础设施（Public Key Infrastructure）的缩写，是一种密钥管理体系，用于保证安全地传输和存储信息。

PKI通过使用加密技术生成一对密钥，其中包括公钥和私钥，以确保数据的机密性、完整性和可靠性。

在当前数字化时代中，信息安全成为了企业和个人亟需解决的问题。

PKI体系提供了一种可靠且灵活的方式来实现数字身份验证、加密通信和数字签名等安全功能。

它已经得到了世界范围内的广泛应用，并获得了国际标准的认可。

1.2 文章结构本文将围绕PKI体系所遵循的国际标准展开讨论。

文章分为以下几个部分：- 引言：概述文章内容、PKI体系简介及国际标准重要性。

- PKI体系简介：定义与原理、组成部分、作用和应用领域。

- PKI国际标准概述：介绍X.509证书标准、PKCS标准系列和ISO/IEC标准体系。

- 主要国际标准组织和机构介绍：详细介绍Internet Engineering T ask Force(IETF)、International Organization for Standardization (ISO)和Public Key Infrastructure Forum (PKIF)等组织和机构。

- 结论：总结国际标准对PKI体系的重要性和作用，并展望PKI的发展趋势。

1.3 目的本文旨在介绍和解释PKI体系所遵循的国际标准，深入了解PKI体系的基础原理和其在信息安全领域中的应用。

通过对国际标准组织和机构进行介绍，读者能更好地了解PKI体系与国际标准之间的关联，以及国际标准在推动PKI发展过程中所起到的至关重要的作用。

最后，我们将对PKI体系未来的发展趋势进行展望。

通过本文的阐述，读者将能够全面了解PKI体系与国际标准之间的关系及其前景。

2. PKI体系简介:2.1 PKI的定义与原理:公钥基础设施（Public Key Infrastructure，PKI）是一种安全框架，用于实现加密和身份验证。

课程：PKI体系与CA技术学期：2015-2016学年第二学期任课教师：刘璟专业：信息安全学号20131120219 姓名：刘宁宁成绩：实验2 使用OpenSSL创建自己的签证中心实验时间：2015.4.19 实验地点：软件大楼1428 ；注意：实验报告统一命名为：学号姓名实验1.docx，例如：学号为20121120203的张三同学提交的实验报告应该命名为：20121120203张三实验1.docx一、实验目的1. 学会开源软件OpenSSL的编译和安装，从而掌握一般开源软件的编译和安装方法（指Unix系统下的开源软件的编译和安装方法）。

2. 使用OpenSSL创建自己的签证（CA）中心。

3. 学会使用OpenSSL来管理数字证书的整个生命周期。

4. 熟悉OpenSSL，为以后在OpenSSL基础上做进一步的编程开发工作打下基础。

二、实验内容1. 在Windows环境下编译和安装开源软件OpenSSL，掌握围绕makefile文件的软件编译和安装方法。

2. 应用OpenSSL来创建自己的签证（CA）中心：1）为签证中心创建工作环境；2）研究OpenSSL配置文件，并创建一个自己的OpenSSL配置文件；3）生成CA自签名的根证书，并了解CA自签名根证书的作用。

4）为用户签发（颁发）数字证书；5）吊销已签发的数字证书。

三、详细实验步骤（关键步骤请截屏）1.openssl的安装：Perl安装完成：为Visual Studio 2010（Visual C++）设置临时环境变量：执行如下Configure命令（该步骤的目的是配置编译参数，对编译环境进行基本的配置）：perl Configure VC-WIN32至此，openssl的配置完成。

2.使用openssl创建自己的签证中心建立CA目录：创建OpenSSL配置文件：修改req项里面的内容：运行命令：C:\CARoot>openssl req -x509 -newkey rsa -out private\cacert.pem -outform PEM在命令行输入C:\CARoot> openssl ca -in testreq.pem生成了一个名为“01.pem”的数字证书4、吊销已经签发的数字证书：如下命令：C:\CARoot>openssl ca -revoke newcerts\01.pem生成一个证书吊销列表exampleca.crl：C:\CARoot>openssl ca -gencrl -out exampleca.crl输入命令：C:\CARoot>openssl crl -in exampleca.crl -text -noout成功吊销证书，显示verify OK：四、实验总结通过回答以下几个问题来进行总结：1.实验一种我们从沃通官网下载的数字证书格式为PFX，在本实验中我们使用OpenSSL生成的数字证书格式为PEM，试比较两种证书格式的异同？答：该编码格式在RFC1421中定义，其实PEM是Privacy-Enhanced Mail的简写，但他也同样广泛运用于密钥管理，一般基于base 64编码。

云南大学软件学院综合技能实践工程——“基于开源框架的网站开发〞实验指导书李海〔编〕“基于开源框架的网站开发〞实验指导书“基于开源框架的网站开发〞综合技能实践工程概述“基于开源框架的网站开发〞综合技能实践是提高学生对网络专业知识的综合应用能力与技能, 使学生学习网络理论知识的根底上提高并加强工程化知识与实践知识的教育。

通过本实验课程，使学生践行CDIO思想,了解网络工程开发流程及相关文档的编写，实现简单网络开发工程的开发，提交工程开发文档及成果。

为学生以后在学习工作中进行网络开发设计打下工程根底，积累实际工程经验。

它是计算机专业学生在掌握一些根本的网络编程语言后，进行系统的事件技能训练的开端，也是后继专业实践、毕业设计的根底。

“基于开源框架的网站开发〞综合技能实践课的目的使学生了解网站开发过程，初步学习网站的运行原理、技术方法以及效劳器的根本配置。

培养学生的计算机实践能力，包括：1通过阅读教材和资料，做好网站开发前的准备——自学能力；2借助计算机网络以及学生所学习的根底程序设计语言和网络效劳知识，开发一个工程——动手能力；3能够运用计算机网络原理知识结合实际使用网络经验，对网站工程开发进行初步分析判断——分析能力；4学会撰写网站开发各阶段的实验报告即配合网站开发提交各阶段的文档——表达能力；5对各自负责的模块通过以前所学习的知识实现——设计能力；6软件开发以小组为单位进行，小组成员合作的方式实现该工程——团队合作能力；7培养与提高学生的科学素养——实事求是的科学作风、严肃认真的工作态度、主动研究的探索精神。

“基于开源框架的网站开发〞综合技能实践任务以团队形式提交网站开发工程书，实现工程书中规划的网站的开发，并提交工程开发文档及网站源代码。

考核方式及成绩评定方法平时成绩20%按时每次出勤情况和任务按时完成情况，可分为优，良，中，差四个等级进行评定(优为90分，良为80分，中为70分，差为50分及以下)构思性实践〔C〕20%构思很好 90 构思较好 80 构思一般 70 构思根本满足要求 60设计性实践〔D〕20%设计很好 90 设计合理 80 设计一般 70 设计根本反映了构思 60实现性实践〔I〕20%功能完全实现，界面良好，容易操作 90功能完全实现，界面和操作一般 80功能根本实现 70实现了大局部的功能 60运作性实践〔O〕20%运作良好 90运行正常，偶尔出现bug 80运行正常，但出现bug频率较高 70运行根本正常，会出现错误和bug 60工程完成后提交文档：1〕网站开发方案或网站开发方案书：网站开发的规划和进度安排；2〕网站开发文档：网站开发建设过程中出现的问题和解决方法的记录和总结；3〕网站使用测试报告：对网站功能使用进行必要说明，并完成测试，记录测试结果。

云南大学软件学院实验报告姓名：王增伟学号：20111120083 班级：软件工程日期：2014-9-24成绩：JAVA实验二一、实验目的：进一步熟悉JAVA编译环境，编译三个简单的JAVA程序，熟悉JAVA语言。

二、实验要求：1. Write Java program called AverageNumbers.java to determine the average ofseveral numbers.Set the following five integer variables:int1 = 5int2 = 7int3 = 4int4 = 25int5 = 13Calculate and display the average of these numbers and the square root（平方根）of average.2. Write a temperature conversion（温度转换） Java program calledFarheheitToCentigrade.java.Set a variable called tempFarenheit = 98.6. （华氏温度）Calculate the Centigrade temp (tempCelcius)（摄氏温度）by using the formula （公式） Centigrade = 5/9 (Fahrenheit -32)3.Write a Java payroll（工资） program called Payroll.java that determines payand taxes.（确定工资税）Set the following variables:pay = $25 per hourhoursWorked = 40Calculate grossPay（应付） by multiplying pay * hoursWorked.Calculate taxesWithheld（缴税） by multiplying grossPay * .15.Calculate netPay by subtracting（减去） taxesWithheld from grossPay.Display all variables.三、实验内容：1.求五个整数的平均值和平均值的平方根AverageNumbers.java程序代码如下：运行结果：2.温度转换：华氏温度转摄氏温度FarheheitToCentigrade.java程序代码如下：运行结果：3.计算工资和税Payroll.java程序如下：运行结果：四、实验总结：通过本次试验，懂得了如何灵活运用数据类型和运算符，由浅入深的对java编程语言有了更近一步的认识。

云南大学软件学院实验报告课程：PKI体系与CA技术学期：2015-2016学年第二学期任课教师：刘璟专业：信息安全学号219 姓名：刘宁宁成绩：实验2 使用OpenSSL创建自己的签证中心实验时间：实验地点：软件大楼1428 ；注意：实验报告统一命名为：学号姓名实验1.docx，例如：学号为203的张三同学提交的实验报告应该命名为：203张三实验1.docx一、实验目的1. 学会开源软件OpenSSL的编译和安装，从而掌握一般开源软件的编译和安装方法（指Unix系统下的开源软件的编译和安装方法）。

2. 使用OpenSSL创建自己的签证（CA）中心。

3. 学会使用OpenSSL来管理数字证书的整个生命周期。

4. 熟悉OpenSSL，为以后在OpenSSL基础上做进一步的编程开发工作打下基础。

二、实验内容1. 在Windows环境下编译和安装开源软件OpenSSL，掌握围绕makefile文件的软件编译和安装方法。

2. 应用OpenSSL来创建自己的签证（CA）中心：1）为签证中心创建工作环境；2）研究OpenSSL配置文件，并创建一个自己的OpenSSL配置文件；3）生成CA自签名的根证书，并了解CA自签名根证书的作用。

4）为用户签发（颁发）数字证书；5）吊销已签发的数字证书。

三、详细实验步骤（关键步骤请截屏）1.openssl的安装：Perl安装完成：为Visual Studio 2010（Visual C++）设置临时环境变量：执行如下Configure命令（该步骤的目的是配置编译参数，对编译环境进行基本的配置）：perl Configure VC-WIN32至此，openssl的配置完成。

2.使用openssl创建自己的签证中心建立CA目录：创建OpenSSL配置文件：修改req项里面的内容：运行命令：C:\CARoot>openssl req -x509 -newkey rsa -out private\cacert.pem -outform PEM在命令行输入C:\CARoot> openssl ca -in testreq.pem生成了一个名为“01.pem”的数字证书4、吊销已经签发的数字证书：如下命令：C:\CARoot>openssl ca -revoke newcerts\01.pem生成一个证书吊销列表exampleca.crl：C:\CARoot>openssl ca -gencrl -out exampleca.crl输入命令：C:\CARoot>openssl crl -in exampleca.crl -text -noout成功吊销证书，显示verify OK：四、实验总结通过回答以下几个问题来进行总结：1.实验一种我们从沃通官网下载的数字证书格式为PFX，在本实验中我们使用OpenSSL生成的数字证书格式为PEM，试比较两种证书格式的异同？答：该编码格式在RFC1421中定义，其实PEM是Privacy-Enhanced Mail的简写，但他也同样广泛运用于密钥管理，一般基于base 64编码。