XSS跨站脚本攻击以及SQL注入攻击实验报告

最新推荐文章于 2023-08-22 18:00:23 发布
最新推荐文章于 2023-08-22 18:00:23 发布
阅读量1.9k 收藏 5
点赞数
分类专栏: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/AC1145/article/details/103298741
版权

XSS跨站脚本攻击以及SQL注入攻击实验报告

XSS跨站脚本攻击
学号/工号查询

输入正确的信息后,我们会得到正确的输出结果。如果输入的名字在数据库中不存在,则无法查询到结果。
在这里插入图片描述

XSS跨站脚本攻击

根据判断,我们可以用一段JavaScript语言写的代码“”或者“

SQL注入攻击
学号查询功能的SQL注入攻击

我们先查看一下query.php程序代码
在这里插入图片描述
发现其19行,33行,47行查询语句是一样的,形式为

$query=”select id from admins where name=’’’.$name.’’’’’’

其中,$name是用户输入的字符串,如果输入内容为’or’1’=’1’#,那么该SQL语句变成了无条件查询语句。效果如下
在这里插入图片描述
造成这样情况的原因在于代码执行条件发生了变化,只要’1’=’1’就可以运行,而我们知道’1’=’1’的值为真,所以成为了无条件查询语句,会把所有结果都输出。此处要注意原代码的单双引号闭合问题。在有了代码后,我们可以针对引号数量不同,改写我们的字符串,但是在实际中,要进行尝试。

用户登录的SQL注入攻击

我们先查看login.php的程序代码
在这里插入图片描述
在第39行其查询用户名和密码的SQL语句为

$query="selsect * from".$t_name."where (id='".$id."')"."and(pass='".$pass."')";

我们是在$id处输入用户名。
当我们输入’or’1’=‘1’); 时,就会显示用户信息。
实现效果如下
在这里插入图片描述
在这里插入图片描述
此时输入的括号是为了和之前的匹配。

慎言静思笃行之
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SQL注入攻击实验报告
05-07
SQL注入攻击实验报告,自己写了试验的网,举了一些基本的攻击和防御方法,有xp_cmdshell的执行,用的是sqlserver 2005
SQL注入漏洞解决心得
Chumy_CC的博客
07-14 3563
SQL注入有哪些危害? 1、攻击者未经授权可访问数据库中的数据,盗取用户信息,造成用户数据泄露。 2、对数据库进行增删改查操作,导致权限模糊或丢失 3、可植入木马,篡改数据等
SQL注入实验报告
热门推荐
fencecat的博客
12-31 1万+
实验项目 SQL注入 综合性实验 2020年9月25日 一、实验综述 1.实验目的及要求 创建VMWARE虚拟机 的Windows环境, 在虚拟机中安装phpstudy,并搭建DVWA环境,通过学习web工作原理与SQL注入工作原理,能够实现简单的SQL注入验证。 2.实验仪器、设备或软件 Vmware DVWA phpStudy 3.实验原理 (1)Web工作原理: Web服务器的本质就是 接收数据 ⇒ HTTP解析 ⇒ 逻辑处理 ⇒ HTTP封包 ⇒ 发送数据。 Web服务器的工作流...
SQL注入实验
Bonjour~
03-16 6154
信息安全实验 SQL Injection
网络攻防实践实验报告
qq_48521772的博客
06-02 1496
在本次实践中,我们亲自尝试了一次XSS攻击SQL注入攻击,发现了常见的输入框中的漏洞,提醒了我们:在开发Web应用的时候,要对从客户端传输的数据进行检查和处理,确保数据的安全,防止因一些漏洞而导致网受到攻击
web脚本攻击XSS)与sql注入攻击 实例
a116385895的博客
07-02 3055
免责申明:对于此内容仅是提供参考,用于开发人员针对黑客攻击做好安全防范 XSS攻击脚本在英文中称为Cross-Site Scripting,缩写为CSS。但是,由于层叠样式表 (Cascading Style Sheets)的缩写也为CSS,为不与其混淆,特将脚本缩写为XSS脚本,顾名思义,就是恶意攻击者利用网漏洞往Web页面里插入恶意代码,一般需要以下几个条件: 客户端访问的网是一个有漏洞的网,但是他没有意识到; 在这个网中通过一些手段放入一段可以执行的代码,吸引客户
SQL 注入SQL Injection)学习心得
coldsummer23的博客
11-07 2702
网工小白学习安全心得,学习web渗透第一章sql注入,本文仅仅简单介绍了SQL注入的流程,SQL注入的原理,以一次完整的字符型SQL注入流程为例,其余三种都是基于这个思路,只是应对于不同的防护用不同的手段。思路重点在于明白最终想要的是数据库中的内容,怎么一步步去获得里面的数据。
SQL注入的学习心得
qq_61412565的博客
08-02 363
Y写在前面:SQL注入的个人思路,先判断注入点是否存在,然后看字符型还是数字型,试出来闭合方式,之后看有几个字段,再看回显位(假设有回显),然后用database()这样的函数获取信息,例如库名,然后再到重要表面 重要列名 重要字段名,再从information_schema里面拿字段信息,如果没回显的话就麻烦很多,可以用三种方式:报错注入、布尔盲注、时间盲注,达到有回显一般的效果。id=-1'union select 1,2,3--+,比如这个吧,就是咱们试图爆1、2、3列的数据,在靶场是这样。
SQL注入心得
Haowill的博客
01-09 885
一、SQL注入介绍 web应用程序没有对用户的输入没有进行严格的过滤,直接将用户参数放入数据库中进行查询,导致攻击者可以通过构造不同的SQL语句来实现对数据库的操作 漏洞利用条件 用户可以控制参数 参数带入数据库查询 二、Mysql数据库介绍 information_schema mysql 5.0以上版本,存在"information_schema"的数据库,有三个表名发错重要,SCHEMATA、TABLES和COLUMNS SCHEMATA表保存所有的数据库名(SCHEMATA_NAME)
实验XSS脚本攻击原理与实践 总结记录
qq_34073852的博客
06-19 2780
111
web安全技术-实验七、脚本攻击xss)(反射型).doc
08-20
web安全技术-实验七、脚本攻击xss)(反射型)
xss脚本攻击-运维安全详细笔记
06-30
xss脚本攻击-运维安全详细笔记
解析如何防止XSS脚本攻击
01-31
这些规则适用于所有不同类别的XSS脚本攻击,可以通过在服务端执行适当的解码来定位映射的XSS以及存储的XSS,由于XSS也存在很多特殊情况,因此强烈推荐使用解码库。另外,基于XSS的DOM也可以通过将这些规则运用在...
XSS脚本攻击
01-27
脚本(crosssitescript)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢?XSS是指恶意攻击者利用网没有对用户提交数据...
XSS脚本攻击剖析与防御
04-28
XSS脚本攻击剖析与防御是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做了...
SQL注入漏洞学习小结
最新发布
dayouzi的博客
08-22 569
Web 程序代码中对于用户提交的参数未做过滤就直接放到SQL 语句中执行,导致参数中的特殊字符打破了 SQL 语句原有逻辑,攻击者可以利用该漏洞执行任意 SQL 语句,如查询数据、下载数据、写入 webshell 、执行系统命令以及绕过登录限制等。
sql注入总结
weixin_51692662的博客
08-16 791
sql注入,web安全,数据库
实验报告实验XSSSQL注入
m0_52108440的博客
12-13 1658
实验目的:了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网配置。 系统环境:Kali Linux 2、Windows Server 网络环境:交换网络结构 实验工具: Beef;AWVS(Acunetix Web Vulnarability Scanner);SqlMAP;DVWA 实验步骤: XSS部分:利用Beef劫持被攻击者客户端浏览器。 实验环境搭建。.
XSS脚本攻击原理与实践 信息安全概论学习心得
zz13634628165的博客
05-26 2216
一、实验目的 本次实验所涉及并要求掌握的知识点。 脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶..
脚本攻击XSS)与SQL注入攻击的异同
06-13
脚本攻击XSS)和SQL注入攻击都是常见的Web攻击方式,它们的目的都是获取点的敏感信息或者控制点。它们的区别如下: 1. 攻击方式不同:XSS攻击是通过在网注入恶意脚本攻击用户,而SQL注入攻击则是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值