20194307肖江宇Exp-8Web综合

最新推荐文章于 2022-08-29 16:09:15 发布
VIP文章 最新推荐文章于 2022-08-29 16:09:15 发布
阅读量244 收藏
点赞数
文章标签: php 前端 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MYRLY/article/details/124948913
版权

《网络对抗技术》Exp8 Web综合

一、实践内容

1.1 实践内容

(1)Web前端HTML

能正常安装、启停Apache。理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML。

(2)Web前端javascipt

理解JavaScript的基本功能,理解DOM。
在(1)的基础上,编写JavaScript验证用户名、密码的规则。在用户点击登陆按钮后回显“欢迎+输入的用户名”
尝试注入攻击:利用回显用户名注入HTML及JavaScript。

(3)Web后端

MySQL基础:正常安装、启动MySQL,建库、创建用户、修改密码、建表

(4)Web后端:

编写PHP网页,连接数据库,进行用户认证

(5)最简单的SQL注入,XSS攻击测试
(6)选做Webgoat或类似平台的SQL注入、XSS、CSRF攻击各一例。

二、基础知识

2.1 基础知识

  • Web前端
    • 编程语言:PHP、JavaScript、Ruby、HTML5、Java和Python
    • 运行环境:浏览器
    • 编程用语:在浏览器内部的动态,美观展示形式
  • Web后端
    • 编程语言:C/C++/C#、Java、PHP、Python、Go、Node.js
    • 运行环境:应用服务器
    • 编程用途:对前端提交的数据进行处理并返回相应的HTML网页内容
  • 数据库编程
    • 编程语言:SQL(关系型数据库)、Optimizer hint、pgsql
    • 运行环境:数据库服务器
    • 编程用途:基本的数据增、删、改、查

2.2 GET和POST两个方面

  • GET 参数通过 URL传值,参数可见且不够安全,不能用来传递敏感信息,而 POST 参数放在 Request body 中,参数不可见,相对而言比较安全;
  • GET 请求在 URL 中传送的数据大小是有限制的(一般不超过2k-4k,取决于浏览器),而 POST 请求中的数据大小长度根据后台配置文件设定,理论上没有限制;
  • GET 在浏览器回退时是无害的,而 POST 在浏览器回退时会再次提交请求;(GET 会将请求参数放在请求的 URL 中,回退操作实际上浏览器会从之前的缓存中拿结果,POST 每次调用都会创建新的资源)
  • GET 请求会被浏览器主动 cache,而 POST 除非手动设置,否则不会;(浏览器缓存分为强缓存和协商缓存)
  • GET 产生的 URL 地址可以被 Bookmark,而 POST 不可以;(GET 请求会把参数带到 URL 中,可以此保存浏览器书签)
  • GET 请求只能进行 URL 编码,而 POST 支持多种编码方式;
    对参数的数据类型,GET 只接受 ASCII 字符,而 POST 没有限制;(URL 是 HTTP 的一个首部,根据约定,一定是 ASCII 字符的)
  • GET 请求产生一个 TCP 数据包,而 POST 请求产生两个数据包;

2.3 XSS攻击

跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的phishing攻击而变得广为人知。

2.4 SQL注入攻击#

SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。

三、实践步骤

3.1 Web前端HTML

Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机平台上,由于其跨平台和安全性被广泛使用,是最流行的Web服务器端软件之一。

(1) 在电脑上安装Apache,我已安装完成

启动Apache服务后,在浏览器中输入localhost显示如下画面,说明服务启动成功

在这里插入图片描述

(2) 创建一个带表单的html

D:\apache\Apache24\htdocs目录下,新建一个简单的含有表单的html文件test8.html

<!DOCTYPE html>
<html>

<head>
    <meta charset="UTF-8">
    <title>20194307</title>
    <!-- 设置链外部样式 --
    <link rel="stylesheet" type="text/css" href="test8.css" /
</head>

<body>
    <h1 align="center" style="color:hotpink;font-size:100px;">
        LOGIN
    </h1>
    <div>
        <form action="2.php" method="post" align="center" style="color:black;font-size:25px;">
            学号: <input type=
最低0.47元/天 解锁文章
20194307肖江宇
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
EXP-V8.zip
03-28
EXP-V8.zip
20194311姜晨昊Exp-8 Web综合
weixin_51927594的博客
05-24 378
二、Web前端HTML 2.1 启动apache服务 service apache2 start 打开浏览器输入127.0.0.1,可以代开apche的默认页面 2.2 新建html文件 2.2.1 编写一个简单的含有表单的HTML 在/var/www/html目录下,新建一个简单的含有表单的html文件test.html <html> <head> <meta http-equiv="Content-Type" content="test/html; charset=u
20194307肖江宇Exp3—免杀原理与实践
MYRLY的博客
04-08 4443
文章目录Exp3-免杀原理与实践1 基础问题回答1.1 杀软是如何检测出恶意代码的?1.2 免杀是做什么?1.3 免杀的基本方法有哪些?​1.4 开启杀软能绝对防止电脑中恶意代码吗?2 实验环境3 实践内容3.1 正确使用msf编码器,使用msfvenom生成如jar之类的其他文件3.2 veil,加壳工具3.3 使用C + shellcode编程3.4 通过组合应用各种技术实现恶意代码免杀 Exp3-免杀原理与实践 1 基础问题回答 1.1 杀软是如何检测出恶意代码的? 基于特征码进行检测: 杀毒软件的病
20194307肖江宇Exp5—信息搜集与漏洞扫描
MYRLY的博客
04-21 228
20194307肖江宇Exp5—信息搜集与漏洞扫描 一、实践目标 掌握信息搜集的最基础技能与常用工具的使用方法 各种搜索技巧的应用 DNS IP注册信息的查询 基本的扫描技术:主机发现、端口扫描、OS及服务版本探测、具体服务的查点(以自己主机为目标) 漏洞扫描:会扫,会看报告,会查漏洞说明,会修补漏洞(以自己主机为目标) 二、实践内容 1. 各种搜索技巧的应用 (1) 搜索网址目录结构 msfconsole use auxiliary/scanner/http/dir_scanner set THR
WebGoat (A8:2013) Request Forgeries -- Cross-Site Request Forgeries
箭雨镜屋
06-15 1899
一、习题通关 第3页 任务:下图的提交按钮会发送一个请求,这题的要求是在webgoat用户登录的情况下,从其他网站触发这个请求,以获取flag,提交flag即可通关。 解题步骤: 首先注意这页有个狼的图标,表示可以借助webwolf。其实不借助也可以,自己可以简单起个http服务(比如用python)。这里还是用webwolf演示,关于webwolf的安装和使用见WebGoat (A2) Broken Authentication -- Password reset (密码重置)_箭雨镜屋-CS
WebGoatV8.1(A8 2013Request Forgery)详细过关教程
weixin_51566481的博客
08-29 504
WebGoat,Request Forgery
exp-schp-201908301523-atr.pth
04-16
Self-Correction-Human-Parsing SCHP models exp-schp-201908301523-atr.pth
EXP-00091 Exporting questionable statistics
04-13
NULL 博文链接:https://xujq.iteye.com/blog/1714222
laravel-CVE-2021-3129-EXP-main.zip 写shellexp
12-17
CVE-2021-3129-EXP 自动写shell的exp
exp-log:基于归纳推理的元语言
02-12
可能会发现令人惊讶的是,在exp-log中使用的一般问题解决技术是基于增强的解析技术,该技术应该(如果一切顺利的话)完全对应于基于事后演算的逻辑绑架过程,后者是一种众所周知的用于构造科学证明的逻辑形式主义。...
2018-2019-2 网络对抗技术 20165305 Exp 8 Web基础
weixin_30751947的博客
05-25 96
1.本实践的具体要求有: (1).Web前端HTML 能正常安装、启停Apache。理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML。 (2).Web前端javascipt 理解JavaScript的基本功能,理解DOM。编写JavaScript验证用户名、密码的规则。 (3).Web后端:MySQL基础:正常安装、启动MySQL,建库、创建用户、修改密码、...
exp8 web基础
weixin_30672019的博客
06-03 121
---恢复内容开始--- 什么是表单?   1、表单对于用户而言是数据的录入和提交的界面;  2、表单对于网站而言获取用户信息的途径。  表单实质由2部分组成:  1、存储表单控件的网页文件;  2、处理表单提交数据的处理程序,该程序在服务器上运行 浏览器可以解析运行什么语言? 浏览器只能处理HTML/CSS,对于JS脚本,会调用JS脚本引擎来处理,浏览器本身不处理程序代码.PHP是一...
EXP8 Web基础 20154310
weixin_30653097的博客
05-25 106
一、实验过程 1.输入sudo vi/etc/apache2/ports.conf查看apache端口情况,更改端口号。 因为未知原因无法更改,因而跳过这个步骤,沿用原来的端口号4316. 2.通过service apache2 start开启Apache,使用netstat -aptn查看确认端口占用 3.浏览器中输入localhost:4316,登录到Apac...
Exp8 web基础
weixin_34336292的博客
05-21 107
20155332《网络对抗》Exp5 MSF基础应用 1.实验环境搭建 1.apache的安装与配置 安装:sudo apt-get install apache2 开启:service apache2 start 或/etc/init.d/apache2 start 常用命令:apache2 {start|stop|graceful-stop|restart|reload|force-relo...
php web 登陆验证和页面控制,# 2019-2020-2 20175308杨元 《网络对抗技术》Exp8 Web基础...
weixin_39544333的博客
03-09 131
2019-2020-2 20175308杨元 《网络对抗技术》Exp8 Web基础实践目标及内容实践内容(1)Web前端HTML(0.5分)能正常安装、启停Apache。理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML。(2)Web前端javascript(0.5分)理解JavaScript的基本功能,理解DOM。编写JavaScript验证用户名、密码的规则。(3)W...
# EXP8 Web基础
weixin_30598225的博客
05-22 90
EXP8 Web基础 基础问题回答 1.什么是表单? 表单:表单在网页中主要负责数据采集功能。 基本组成部分: 表单标签:这里面包含了处理表单数据所用CGI程序的URL以及数据提交到服务器的方法。 表单域:包含了文本框、密码框、隐藏域、多行文本框、复选框、单选框、下拉选择框和文件上传框等。 表单按钮:包括提交按钮、复位按钮和一般按钮;用于将数据传送到服务器上的CGI脚本或者取消输入,还可以用表...
Exp8 Web基础
weixin_30784141的博客
05-17 93
一、实验过程 1.Web前端:HTML基础 (1)kali默认已安装Apache,使用service apache2 start命令打开Apache服务 (2)在浏览器输入127.0.0.1,如果可以打开Apache的默认网页 (3)进入/var/www/html目录下(即Apache目录下),新建一个简单的含有表单的html文件form.html ...
Exp 8 Web基础
weixin_30455067的博客
05-18 201
Exp 8 Web基础 1.本实践的具体要求有: (1).Web前端HTML(0.5分) 能正常安装、启停Apache。理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML。 (2).Web前端javascipt(0.5分) 理解JavaScript的基本功能,理解DOM。编写JavaScript验证用户名、密码的规则。 (3).Web后端:MySQ...
20154327 EXP8 Web基础
weixin_30700099的博客
05-18 80
基础问题回答 (1)什么是表单? 表单:表单在网页中主要负责数据采集功能。一个表单有三个基本组成部分: 表单标签:这里面包含了处理表单数据所用CGI程序的URL以及数据提交到服务器的方法。 表单域:包含了文本框、密码框、隐藏域、多行文本框、复选框、单选框、下拉选择框和文件上传框等。 表单按钮:包括提交按钮、复位按钮和一般按钮;用于将数据传送到服务器上的CGI脚本或者取消输入,还可以用表单按钮来控...
sigfit-exp-man
最新发布
07-02
sigfit-exp-man 是一个词组,其中“sigfit”是“信号拟合”(signal fitting)的简称,"exp"是"实验" (experiment)的缩写,"man"是"人" (man)的意思。因此, sigfit-exp-man 可以被理解为“信号拟合实验人”,指的是在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值