people against security lab 展示易受攻击的Web应用程序的小型安全实验室

反对安全的人关于这是CSCI-5460 -网络和信息安全的期末考试项目。任务是设计一个适合本科计算机科学学生在4-6小时内完成的实验室，以展示安全领域的重要内容。本实验的目标是让学生基本了解Web应用程序中看似很小的漏洞如何聚集在一起导致重大问题。本实验涵盖的漏洞包括：一个善意但不安全的下载功能，允许用户访问服务器上的文件（源代码本身）。对身份验证而不是授权的错误检查，允许访问用户管理（允许权限提升）。具有“管理员”权限的任何人都可以使用数据库备份功能，该功能不会保护数据库（例如，不加密或限制为特定用户）。使用过时的密码散列方案（无盐的MD5）。我的目标是给出如何应用这些概念的实用概述，而不是深入研究现实生活中更常见的复杂性。请注意：此应用程序与安全Web开发实践的良好示例完全相反。它应该仅用于其预期目的。也就是说，向其他人传授安全性在整个