Weblogic Coherence元件漏洞初探CVE-2020-2555
實驗所屬系列:安全協議應用與分析/網路安全與防護
實驗物件:本科/專科資訊保安專業
相關課程及專業:資訊網路安全概論、網路攻擊與防禦技術、計算機網路
實驗時數(學分):2學時
實驗類別:實踐實驗類
實驗目的通過該實驗瞭解和掌握證書服務的安裝,理解證書的發放過程,掌握在WEB伺服器上配置SSL, 使用HTTPS協議訪問網站以驗證結果,最後對HTTPS協議進行分析。
預備知識本實驗要求實驗者具備如下的相關知識。
PKI
PKI是Public Key Infrastructure的縮寫,是指用公鑰概念和技術來實施和提供安全服務的具有普適性的安全基礎設施。PKI是由硬體、軟體、策略和人構成的系統,當完善實施後,能夠為敏感通訊和交易提供一套資訊保安保障,包括保密性、完整性、真實性和不可否認。
PKI的基本組成,完整的PKI系統必須具有權威認證機構(CA)、數字證書庫、金鑰備份及恢復系統、證書作廢系統、應用介面(API)等基本構成部分,構建PKI也將圍繞著這五大系統來著手構建。
數字證書,是網際網路通訊中標誌通訊各方身份資訊的一系列資料,提供了一種在Internet上驗證身份的方式,其作用類似於司機的駕駛執照或日常生活中的身份證。它是由一個由權威機構-----CA機構,又稱為證書授權(Certificate Authority)中心發行的,人們可以在網上用它來識別對方的身份。
HTTPS
HTTPS(Hypertext Transfer Protocol over Secure Socket Layer),是以安全為目標的HTTP通道,簡單講是HTTP的安全版。即HTTP下加入SSL層,HTTPS的安全基礎是SSL,因此加密的詳細內容就需要SSL。
本實驗中自己指定CA伺服器與申請證書的網站。
實驗過程中建議使用IE瀏覽器,如果不使用IE,可能會導致後續實驗過程中證書不能下載。
實驗步驟一任務一:搭建CA伺服器
本任務初步瞭解CA伺服器的原理和配置過程。操作都在CA伺服器上。
1、遠端桌面方式登入到CA伺服器,在CMD下檢視本機IP地址:
注:在本例中CA伺服器IP為10.1.1.245,但在做實驗過程中,IP可能會出現變動,要記住自己CA的IP,在後面實驗過程中填寫自己的IP,否則實驗可能失敗。
2、安裝證書服務
依次點選:“開始”->>“控制面板”->>“新增或刪除程式”,以開啟新增或刪除程式對話方塊:
依次點選:“新增刪除windows元件”,在元件嚮導中選中“應用程式伺服器”與“證書服務”,先不要點選下一步:
雙擊“應用程式伺服器”,選中“ASP.NET”與“Internet資訊服務(IIS)”,如下圖:
點選“確定”開始安裝,在出現的對話方塊中選擇“獨立根”,繼續安裝過程
選擇相關的引數,如下圖:
下一步後,會出現證書資料庫的相關設定,不用修改,繼續下一步:
單擊下一步後進行安裝,在安裝過程中會提示“輸入磁碟”,按照安裝IIS的方式,單擊“瀏覽”、找到檔案,確定完成安裝。
(瀏覽到桌面-win2003-I386目錄下)
在安裝完成後會提示啟用Active Server Page,點選“確定”
安裝完成後會發現有管理工具中多了“Internet資訊服務(IIS)”,找到並開啟:
右鍵“預設網站”,選擇“屬性”:
會出現如下屬性對話方塊,在對話方塊中IP地址選擇為本機IP(一般IP已經存在,不用手工輸入),並點選確定:
開啟瀏覽器輸入 http://10.1.1.245/certsrv/ 可以瀏覽證書伺服器
至此,證書伺服器搭建完成。
實驗步驟二任務二:搭建HTTPS伺服器
1、證書申請
登入到要搭建https服務的“網站”主機,檢視IP:
按照搭建CA伺服器的方法安裝IIS,區別是隻選擇“應用程式伺服器”,如下圖:
安裝完成後,開啟IIS,右鍵“預設網站”,選擇“屬性”:
在“預設網站屬性”中選擇“目錄安全性”標籤,點選“伺服器證書”:
會出現安裝嚮導,點選下一步:
出現如下對話方塊,保持預設選項“新建證書”不動,繼續下一步:
繼續保持預設選項,單擊下一步:
填寫單位與部門資訊:
填寫公用名稱,由於在本環境中沒有使用DNS伺服器,沒有域名因此使用IP地址訪問,在公用名稱中輸入本機的IP地址,如果名稱錯誤,後面過程中會出現問題,因此應仔細核對:
在下一步中輸入證書的相關資訊:
可以使用預設的檔名,但要記住存放地址:
確認資訊後,完成請求證書的設定。
接下來申請證書。
開啟瀏覽器,輸入剛才我們搭建的證書伺服器地址:
Http://10.1.1.245/certsrv/ (在實驗中根據自己情況填寫IP),在證書服務頁面點選“申請一個證書”
在下圖的頁面中點選“高階證書申請”:
在出現的頁面中選擇第二個“使用base64編碼的CMC……”
開啟前面步驟建立的文字檔案,將文字檔案的內容複製到頁面中,並提交:
會出現等待管理員稽核批准的頁面。
2、證書的頒發
證書的頒發在證書伺服器中操作,接下來的操作是證書稽核員的角色,切換到CA伺服器,點選“開始”>>“管理工具”>>“證書頒發機構”:
可以在掛起的申請中看到剛才我們的申請:
右鍵所有任務,選擇“頒發”:
頒發後可以在“頒發的證書”中看到,如下圖:
3、下載並應用證書
本操作是網站主機上。
可以看到,證書已經稽核通過,可以下載了:
點選“儲存的申請證書”,進入到下一頁面:
選擇“Base 64編碼”,並點選“下載證書”:
將證書儲存到桌面,以便查詢,可以看到桌面上的證書檔案。
再進入到預設網站屬性,選擇“目錄安全性”,單擊“伺服器證書”:
進入Web伺服器證書嚮導,點選下一步:
在“處理掛起請求”中選擇“瀏覽”,選擇剛才下載的證書檔案,並開啟,下一步,使用預設的443埠,點選下一步:
繼續下一步,完成嚮導。
開啟預設網站屬性,選擇“目錄安全性”標籤,單擊“編輯”
選擇“要求安全通道”,確定:
實驗步驟三
任務三:訪問HTTPS伺服器
在“CA伺服器”中開啟已經申請了HTTPS服務的網站:
輸入https://10.1.1.196 (按照實際情況),會出現一個證書安全問題的確認,單擊“是”,進行瀏覽:
可以看到能夠通過HTTPS協議瀏覽。
分析與思考
1.通過本實驗,論述本實驗中有哪些角色?他們的任務分別是什麼?
CA伺服器:對證書稽核後頒發
網站主機使用者:使用web網站服務
2.對資料包進行分析,比較使用HTTP和HTTPS有什麼不同?
http和https使用的是完全不同的連線方式,同時使用的埠也不同,http使用的是80埠,https使用的是443埠。
在網路模型中,HTTP工作於應用層,而HTTPS工作在傳輸層。
http資訊明文傳輸,而https使用了加密協議。
3.實驗中我們是自己給自己簽發證書,而且名稱單位完全可以隨意編造,同學可以嘗試偽造別人的自簽名證書,看看有什麼反應。瀏覽器會不會識別出來。
4.12306也使用了自簽證書,而且要求我們把它存入“受信任的根證書頒發機構”,這麼做對12306網站有什麼好處,對使用者有什麼壞處?
好處:12306網站可以避免使用者資料出現洩漏。
壞處:如果 SRCA 根證書私鑰洩露那麼攻擊者不但可偽造12306證書進行劫持,同時還可以偽造任意網站進行劫持。
5.網上有很多收費的電子認證服務,可以提供證書頒發,那麼使用這種證書的安全性如何?有沒有脆弱點?
安全性不一致。一些較為權威的機構比較安全,而一些小機構則較為不安全。
答題: