aicong1881-CSDN博客

转载 Exp9 web安全基础

一、基础问题回答（1）SQL注入攻击原理，如何防御原理:程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，攻击者利用SQL命令欺骗服务器执行恶意的SQL命令，获得某些他想得知的数据。防御：就像我们上次做实验对网页登陆的账户做了密码长度的限制，可以限制输入的长度、检查输入变量的数据类型，限制特殊字符的输入，把用户输入的or, –,';等关键字和特殊字符都过滤了，大不了抛...

2018-05-29 20:56:00 176

转载我就测试一下

test 用户名：密码：自动登录转载于:https://www.cnblogs.com/zhangweiye20154330/p/9075123.html

2018-05-23 08:30:00 115

转载 Exp8 Web基础实践

一. 实验内容(1) Web前端HTML：能正常安装、启停Apache。理解HTML，理解表单，理解GET与POST方法,编写一个含有表单的HTML。(2) Web前端javascipt：理解JavaScript的基本功能，理解DOM。编写JavaScript验证用户名、密码的规则。(3) Web后端：MySQL基础：正常安装、启动MySQL，建库、创建用户、修改密码、建表(4)...

2018-05-22 22:32:00 147

转载 Exp7 网络欺诈防范

一、实践内容本实践的目标理解常用网络欺诈背后的原理，以提高防范意识，并提出具体防范方法。具体实践有（1）简单应用SET工具建立冒名网站（2）ettercap DNS_spoof（3）结合应用两种技术，用DNS_spoof、QR_code引导特定访问到冒名网站。二、实践过程2.1 URL攻击（1）查询80端口的使用情况没有结果就是最好的结果，说明没有进程占用80（2）修...

2018-05-09 22:20:00 76

转载 Exp6 信息搜集与漏洞扫描

一、基础知识回答1、哪些组织负责DNS，IP的管理。DNS管理机制• 全球根服务器均由美国政府授权的ICANN统一管理，负责全球的域名根服务器、DNS和IP地址管理。全球根域名服务器：绝大多数在欧洲和北美（全球13台，用A~M编号），中国仅拥有镜像服务器（备份）• 全球一共有5个地区性注册机构：ARIN主要负责北美地区业务，RIPE主要负责欧洲地区业务，APNIC主要负责亚太地区...

2018-05-02 08:16:00 171

转载 Exp5 MSF基础应用

【实践要求】1.一个主动攻击，如ms08_0672.一个针对浏览器的攻击，如ms11_0503.一个针对客户端的攻击，如Adobe4.成功应用任何一个辅助模块【基础知识问答】用自己的话解释什么是exploit,payload,encodeexploit渗透攻击模块，利用发现的安全漏洞对远程系统进行攻击Payload攻击载荷模块，渗透攻击成功后在目标系统中运行的代码，ex...

2018-04-24 21:09:00 135

转载 Exp4 恶意代码分析

一、实践目标1.1是监控你自己系统的运行状态，看有没有可疑的程序在运行。1.2是分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽量使用原生指令或sysinternals,systracer套件。1.3假定将来工作中你觉得自己的主机有问题，就可以用实验中的这个思路，先整个系统监控看能不能找到可疑对象，再对可疑对象进行进一步分析，好确认其具体的行为与性质。二、实...

2018-04-12 23:19:00 114

转载 Exp3 免杀原理与实践

一、问题回答1. 杀软是如何检测出恶意代码的？[x] 基于特征码的检测[x] 基于行为的恶意软件检测2. 免杀是做什么？就是反病毒（AntiVirus）与反间谍（AntiSpyware）的对立面。3. 免杀的基本方法有哪些？加花指令：就是加入一些花里胡哨的指令来迷惑杀软，让杀软检测不到特征码，比如+1，-1，*1，/1什么的，但是一些厉害的杀软还可以看破这些。加壳：...

2018-04-07 16:14:00 116

转载 Exp2后门原理与实践

一、简单后门1、ncat、socat的基础操作工具介绍：netcat（nc、ncat）是一个底层工具，进行基本的TCP UDP数据收发。常被与其他工具结合使用，起到后门的作用。socat：类似于Netcat的加强版。以上两个工具均可以在老师课件主页的附件中下载++https://gitee.com/wildlinux/NetSec/attach_files++Meterpre...

2018-03-29 21:59:00 158

转载 Exp1 PC平台逆向破解 20154330张伟业

一、实践目标1.本次实践的对象是一个名为20154330（原为pwn1）的linux可执行文件。2.该程序正常执行流程是：main调用foo函数,foo函数会简单回显任何用户输入的字符串。3.该程序同时包含另一个代码片段，getShell，会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。我们将学习两种方法运行这个代码片段，然后学...

2018-03-17 23:19:00 71