实训1 利用Web漏洞入侵网站并控制服务器
目的:
-
深入理解网络无安全的思想。
-
了解局域网查看软件Lansee的使用方法。
-
了解端口扫描软件AdvancedPortScanner的使用方法。
-
了解Web后台扫描软件御剑的使用方法。
-
了解网站漏洞扫描工具AWVS的使用方法。
-
了解Webshell连接工具中国菜刀的使用方法。
-
掌握端口及漏洞扫描的基本知识,能够利用工具进行扫描工作。
-
掌握网站入侵的一般流程。
实训2 Web漏洞原理与利用
目的
-
了解SQL注入的概念和基本原理。
-
了解XSS跨站的概念和基本原理。
-
了解上传漏洞的概念和基本原理。
-
掌握通过SQL注入进行攻击的基本方法。
-
掌握通过XSS跨站进行攻击的基本方法。
-
掌握通过上传漏洞进行攻击的基本方法。
做网站的时候,名字不要太过普通大众,否则在扫描时可能会被扫出后台网页;设置登录密码的时候复杂点,防止被窃取;尽量避免数据库使用字符串拼接,否则可以直接绕过登录;遇到不明链接不要点,那可能是非法分子设置的陷阱;如果某个网页被恶意篡改了,可以在数据库里恢复。
总的来说,两次实训就是在学习如何查找漏洞的基础、如何入侵他人、怎样利用漏洞,同时也告诫我们上网需谨慎,莫要太具好奇心。