这一次专业实践课,由于我对网络安全感兴趣,我选择了《网络安防》专题。
第一节课,赵老师为我们讲解了网络安全的相关政策和有关法律法规,接下来的五周都是邬老师指导我们,讲解的内容十分广泛,涉及到了相当多的方面。邬老师说,本专题的内容都是很基础很基础的。第一节课下课前,进行了课堂小测。小测的内容和智能卡有关,老师说本专题会有智能卡实验。关于智能卡实验,下文详细讨论。
本专题的实验按时间顺序主要分为持续四周的个人CTF比赛、分组智能卡实验、两天的小组CTF比赛以及分组开放性实验。CTF比赛是网络安全领域的常见比赛之一,本专题涉及到的题型有misc、pwn、web、crypto和ppc等。通过CTF比赛,我们锻炼了个人对于网络安全知识的理解;通过小组CTF比赛,我们还锻炼了团队合作能力,每个人发挥自己的特长,解自己擅长做的题。顺便一提,分组的开放性实验,有一组做的就是CTF比赛题目的详解答案,在最后答辩环节为大家答疑解惑。CTF的题目十分有趣,同时富有深度和广度,限于篇幅,这里不详细介绍了。
接下来是智能卡实验。本专题的智能卡实验十分基础,实验内容主要为利用Arduino UNO以及MFRC522开发板进行各种智能卡的读取测试。不过,有两组也选择了实现一套校园一卡通系统作为开放性实验,这可以认为是智能卡的扩展实验。
小组的CTF比赛也惊悚刺激,题型和个人CTF比赛类似。经过努力,我们组排名第二。
我们组的开放性实验选择的是破解、攻击TL-SC3130G型无线网络摄像头。最后的效果为,可以半自动化地利用一些已被公开和未被公开的漏洞向摄像头永久植入一个定时脚本,可以偷取图像以及获得shell等。这个实验让我们深刻认识到现在物联网设备中的安全隐患,以及自己开发软件的时候不要有意无意添加后门。
最后一节课下课前,是第二次课堂小测,测试内容和第一次课完全一样。经过智能卡实验的学习,我对第二次小测的作答结果更有自信了。
此外,在课程之余,出于对课程内容的兴趣、提高课程难度,我在完成智能卡实验的过程中还自行购买了各类智能卡破解设备,包括PN532、ACR122U和Proxmark3,尝试读取MFRC522不支持或支持不好的那些智能卡(如闪付卡以及ISO14443 B标准的清华大学学生卡)以及破解M1卡。我还和另外一位同学对学校的自助注册、成绩单和在学证明打印机进行了研究,真的发现了几个严重的安全漏洞,这些漏洞组合起来允许攻击者未经授权查看任意同学的成绩单以及在学证明(内有敏感信息),最后我们报给了学校负责人。另外,我还参加了一个奇怪的网络安全比赛。比赛的内容比较特殊,不只有CTF比赛,还有笔答题部分。笔答题部分恰好考察了第一节课赵老师讲解的内容,弥补了仅做CTF题目的不足。经过课程的锻炼,本次比赛题目相对于课程的CTF题目来说比较简单。据说,最后我的比赛取得了优异的成绩。
总之,本次专题实践让我对网络安全的知识和技能有了系统的提高和锻炼,下学期我还要继续学习网络安全相关课程!感谢各位老师和同学们为大家带来一次难忘的专业实践!
发表评论