Exp8 Web基础实践

最新推荐文章于 2024-09-24 08:39:48 发布
最新推荐文章于 2024-09-24 08:39:48 发布
阅读量185 收藏
点赞数
文章标签: 数据库 php javascript ViewUI
原文链接:http://www.cnblogs.com/zhangweiye20154330/p/9074515.html
版权

一. 实验内容

(1) Web前端HTML:能正常安装、启停Apache。理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML。

(2) Web前端javascipt:理解JavaScript的基本功能,理解DOM。编写JavaScript验证用户名、密码的规则。

(3) Web后端:MySQL基础:正常安装、启动MySQL,建库、创建用户、修改密码、建表

(4) Web后端:编写PHP网页,连接数据库,进行用户认证

(5) 最简单的SQL注入,XSS攻击测试

二、实践目标

功能描述:用户能登陆,登陆用户名密码保存在数据库中,登陆成功显示欢迎页面。

三、实践步骤

环境配置

1.安装 Apache,直接用指令
sudo apt-get install apache2apache是kali下的web服务器,通过访问ip地址+端口号+文件名称可以打开对应的网页。
1350877-20180522223022552-1833393633.png

  • 输入命令
    vi /etc/apache2/ports.conf更改apache2的监听端口号;
    1350877-20180522223045767-1986094485.png

  • 输入命令
    apachectl start
    打开apahce,并使用netstat -aptn查看端口号,确认apache正确开启,如下图所示:
    1350877-20180522222806384-2076632447.png
    1350877-20180522222849261-1299306546.png

前端编程

1.使用
cd /var/www/html在/var/www/html目录下编辑
vi test.html
1350877-20180522223407508-149220166.png

2.在firefox中输入:http://127.0.0.1:4330/test.html就能打开该网页。
1350877-20180522222934407-122970913.png

由于只是一个表单,上面代码里标出的一行中action指定的php文件,所以在填写内容后会出现not found的提示:
1350877-20180522223005511-62388961.png

javascript相关
  • 相关概念:JavaScript是一种广泛用于客户端Web开发的脚本语言,常用来给HTML网页添加动态功能,比如响应用户的各种操作。
  • 文档对象模型(Document Object Model,简称DOM,是W3C组织推荐的处理可扩展标志语言的标准编程接口。
  • 编写验证用户名和密码的规则:(比如用户名和密码不能为空)vi test1.html
<html> 
<head> 
<title>test</title> 
</head> 
<body> 
<table> 
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<form method ="POST" action="#" name="frmLogin" > 
<tr> 
<td>用户名:</td> 
<td><input type="text" name="username" value="Your name" size="20" maxlength="20" onfocus="if (this.value=='Your name') this.value='';" /></td> 
<td> </td> 
<td> </td> 
</tr> 
<tr> 
<td>密 码:</td> 
<td><input type="password" name="password" value="Your password" size="20" maxlength="20" onfocus="if (this.value=='Your password') this.value='';" /></td> 
<td> </td> 
<td> </td> 
</tr> 
<tr> 
<td><input type="checkbox" name="zlogin" value="1">自动登录</td> 
</tr> 
<table> 
<tr> 
<td><input type="submit" name="login" value="登录" onClick="return validateLogin()"/></td> 
<td><input type="reset" name="rs" value="重置" /></td> 
</tr>
</table> 
</form> 
</table> 

<script language="javascript"> 
function validateLogin(){ 
var sUserName = document.frmLogin.username.value ; 
var sPassword = document.frmLogin.password.value ; 
if ((sUserName =="") || (sUserName=="Your name")){ 
alert("请输入用户名!"); 
return false ; 
} 

if ((sPassword =="") || (sPassword=="Your password")){ 
alert("请输入密码!"); 
return false ; 
} 

} 
</script> 
</body> 
</html>

效果:

1350877-20180522223124446-1646749650.png
1350877-20180522223129966-1618368380.png

MySQL基础

1.开启sql服务/etc/init.d/mysql start

1350877-20180523163056426-1112450517.png

2.输入mysql -u root -p,并根据提示输入密码,默认密码为p@ssw0rd进入MySQL

1350877-20180523163116737-502098834.png

3.use mysql;选择mysql数据库

4.select user, password, host from user;显示mysql库中已有的用户名、密码与权限

1350877-20180523163140171-1309506201.png

4.UPDATE user SET password=PASSWORD("435191") WHERE user='root';更改用户名root的密码

1350877-20180523163209145-390208207.png

5.flush privileges;更新权限

6.输入quit退出,重新输入mysql -u root -p重新进入,使用新密码登录成功,说明修改成功

7.CREATE SCHEMA 4330zwy;创建库表

1350877-20180523163420440-670314224.png

8.使用show databases;查看存在的数据库;使用use+库名,使用我们所创建的数据库

9.接着使用create table 表名 (字段设定列表);
建立数据表,数据表是数据库中一个非常重要的对象,一个数据库中可能包含若干个数据表;使用
show tables查看存在的数据表:

1350877-20180523163456204-1099038458.png

10.使用insert into 表名 values('值1','值2','值3'...);插入数据;使用
select * from 表名;查询表中的数据:
1350877-20180523163514516-38004723.png

PHP测试

1.新建一个PHP测试文件vi /var/www/html/test.php
输入如下:

<?php
echo ($_GET["A"]);

include($_GET["A"]);

echo "php page 4301!<br>";
?>

2.用浏览器打开http://127.0.0.1:4301/test.php,可以看见如下界面,测试成功
1350877-20180523163545670-1349716869.png

php+mysql实现登录网页编写

1.在/var/www/html文件夹下输入vim login.html,编写登录网页。

2.在同样的目录下输入vim login.php,通过php实现对数据库的连接
这些都是在之前完成的步骤,尽管后来遇到了很多问题。。。但是还好做出来了

3.在浏览器中输入127.0.0.1/login.html,就可以访问自己的登陆页面啦,
1350877-20180524221741984-1726995770.jpg

SQL注入

1.SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。

2.在用户名输入框中输入' or 1=1#,密码随意,这时SQL查询语句变为select * from test_table where username='' or 1=1#' and password='',#相当于注释符,会把后面的内容注释掉,or后跟着的1=1永远为真,所以必然登录成功

1350877-20180524221827279-1843471827.jpg
1350877-20180524221834641-1910863856.jpg

3.将一张图片放在/var/www/html目录下,在用户名输入框输入20154330.jpg,密码随意,就可以读取图片:
1350877-20180524221912945-2114560831.jpg

不过我的图片好像出了点问题,不过结果是对的啦

四、基础知识回答

1. 什么是表单?
  • 表单在网页中主要负责数据采集功能
  • 一个表单有三个基本组成部分: 表单标签、窗体顶端、窗体底端
  • 表单域:包含了文本框、密码框、隐藏域、多行文本框、复选框、单选框、下拉选择框和文件上传框等

  • 表单按钮:包括提交按钮、复位按钮和一般按钮.表单按钮可以用于将数据传送到服务器上的CGI脚本或者取消输入,还可以用表单按钮来控制其他定义了处理脚本的处理工作

    2. 浏览器可以解析运行什么语言?
  1. 超文本标记语言:HTML
  2. 可扩展标记语言:XML

  3. 脚本语言:ASP、PHP、Script、JavaScript、VBScript、Perl、Python、ColdFusion、Java、JSP等

    3. WebServer支持哪些动态语言?
  • ASP、JSP、PHP等

五、实践感想

本次实验主要是与web编程有关,主要分为前端和后端的编写,前端利用HTML语言以及CSS语言,后端是利用的php文件,整个实验内容还是比较多。数据库和web编程之前都没有学过,在代码方面耗时较多,有的部分还是很困难,但是通过菜鸟教程学习,老师讲解和对完成实验的同学的参考,能完整完成实验内容。后面的攻击方法SQL注入也说明了要在理解数据库代码的情况下才能够完成攻击,即让后台的程序去执行所填充的一些指令进而对数据库进行操作。网站设计不是一个简单的事情,不仅需要界面友好,最重要的是做到能够防范各种可能经受的攻击,以保证网站的安全性。

test
用户名:
密 码:
自动登录

转载于:https://www.cnblogs.com/zhangweiye20154330/p/9074515.html

aicong1881
关注
20194307肖江宇Exp-8Web综合
MYRLY的博客
05-25 323
《网络对抗技术》Exp8 Web综合 一、实践内容 1.1 实践内容 (1)Web前端HTML 能正常安装、启停Apache。理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML。 (2)Web前端javascipt 理解JavaScript的基本功能,理解DOM。 在(1)的基础上,编写JavaScript验证用户名、密码的规则。在用户点击登陆按钮后回显“欢迎+输入的用户名” 尝试注入攻击:利用回显用户名注入HTML及JavaScript。 (3)Web后端 MySQL基
Exp 8 Web基础
weixin_30455067的博客
05-18 273
Exp 8 Web基础 1.本实践的具体要求有: (1).Web前端HTML(0.5分) 能正常安装、启停Apache。理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML。 (2).Web前端javascipt(0.5分) 理解JavaScript的基本功能,理解DOM。编写JavaScript验证用户名、密码的规则。 (3).Web后端:MySQ...
Vi编辑器开发网页html,vi编辑器常用命令有哪些?
weixin_29531989的博客
06-09 575
vi编辑器常用命令Linux下的文本编辑器有很多种,vi 是最常用的,也是各版本Linux的标配。注意,vi 仅仅是一个文本编辑器,可以给字符着色,可以自动补全,但是不像 Windows 下的 word 有排版功能。vi 是十年磨一剑的产品,虽然命令繁多,并且大多数功能都是依靠键盘输入来完成,但是一旦你熟悉后,会发现 vi 的功能和效率是其他图形界面编辑器无法比拟的。Vim 是 Vi improv...
Web安全之PoC、Exp和Payload的关系
jiet07的博客
10-26 4340
POC和EXP POC = Proof of Concept中文意思是“观点证明”。这个短语并非仅仅在漏洞报告中使用,甲方在项目招标过程中也常常要求乙方提供POC,即证明你的方案或者产品能达到声称的功能或性能,漏洞报告中的POC则是一段说明或者一个攻击的样例,使得读者能够确认这个漏洞是真实存在的。 EXP = Exploit的中文意思是“漏洞利用”。意思是一段对漏洞如何利用的详细说明或者一个演示的漏洞攻击代码,可以使得读者完全了解漏洞的机理以及利用的方法。 POC,是用来验证漏洞是否存在的一段代码。 EXP
20155223 Exp8 WEB基础实践
bali9195的博客
05-19 277
20155223 Exp8 WEB基础实践 基础问题回答 什么是表单? 表单是一个包含表单元素的区域。 表单元素是允许用户在表单中(比如:文本域、下拉列表、单选框、复选框等等)输入信息的元素。 表单使用表单标签定义。 浏览器可以解析运行什么语言? 超文本标记语言:HTML 可扩展标记语言:XML 还有各类脚本语言。 WebServer支持哪些动态语言? 这几种语言:ASP、JSP、PHP...
20155331《网路对抗》Exp8 WEB基础实践
aezm18818的博客
05-22 202
20155331《网路对抗》Exp8 WEB基础实践 基础问题回答 什么是表单 表单在网页中主要负责数据采集功能。一个表单有三个基本组成部分: 表单标签,这里面包含了处理表单数据所用CGI程序的URL以及数据提交到服务器的方法。表单域,包含了文本框、密码框、隐藏域、多行文本框、复选框、单选框、下拉选择框和文件上传框等。表单按钮,包括提交按钮、复位按钮和一般按钮;用于将数据传送到服务器上的...
Exp8 web基础
weixin_34336292的博客
05-21 172
20155332《网络对抗》Exp5 MSF基础应用 1.实验环境搭建 1.apache的安装与配置 安装:sudo apt-get install apache2 开启:service apache2 start 或/etc/init.d/apache2 start 常用命令:apache2 {start|stop|graceful-stop|restart|reload|force-relo...
20165223《网络对抗技术》Exp 8 Web基础
weixin_30814329的博客
05-18 214
目录 —— Web基础 实践说明 实践目标 基础问答 实践内容 Web前端:HTML Web前端:JavaScript Web后端:MySQL Web后端:PHP SQL注入,XSS攻击测试 实验遇到的问题及解决方法 实验收获与感想 1 实践说明 1.1 实践内容 ★ 实验要求 (1)Web前端:HTML(0.5分) 能正常安装、启停Apache。理解HTML,理解表单,理...
20155216 Exp9 Web安全基础实践
weixin_30243533的博客
05-23 418
Exp9 Web安全基础实践 基础问题回答 1、SQL注入攻击原理,如何防御? 1.对用户的输入进行校验,可以通过正则表达式,双"-"进行转换等。 2.不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取。 3.不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接。 4.不要把机密信息直接存放,加密或者hash掉密码和敏感的信息。 5.应用的异常信...
《网络对抗技术》Exp 8 Web基础
weixin_30650859的博客
05-19 170
2018-2019 20165118 《网络对抗技术》Exp 8 Web基础 一.实践内容 (1).Web前端HTML(0.5分) 能正常安装、启停Apache。理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML。 (2).Web前端javascipt(0.5分) 理解JavaScript的基本功能,理解DOM。编写JavaScript验证用户名、密码的规则。 (3).W...
1963EXP_Code_HTML5移动Web开发实战实例源码_
10-02
8. `1963_10_code`:最后,这部分可能包含HTML5的离线Web应用或者 Progressive Web App (PWA) 的相关代码,如Service Worker、Manifest文件的配置,以及如何实现添加到主屏幕的功能。 通过这些实例,学习者可以逐步...
Exp6 MSF应用基础
cyuyan3hao的博客
05-06 2231
1 一个主动攻击实践 使用 ms17-010 永恒之蓝漏洞对 win7 进行渗透 永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。5月12日,不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒,英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复文件。 漏洞介绍 在微软官方的漏洞库中
计算机毕业设计之:基于微信小程序的诗词智能学习系统(源码+文档+解答)
程序员阿龙的博客
09-22 4155
博主介绍: ✌我是阿龙,一名专注于Java技术领域的程序员,全网拥有10W+粉丝。作为CSDN特邀作者、博客专家、新星计划导师,我在计算机毕业设计开发方面积累了丰富的经验。同时,我也是掘金、华为云、阿里云、InfoQ等平台的优质作者。通过长期分享和实战指导,我致力于帮助更多学生完成毕业项目和技术提升。 技术范围: 我熟悉的技术领域涵盖SpringBoot、Vue、SSM、HLMT、Jsp、PHP、Nodejs、Python、爬虫、数据可视化、小程序、安卓app、大数据、物联网、机器学习等方
Redis的Key的过期策略是怎样实现的?
daydayup
09-19 839
在学习Redis时,我们知道可以设置Key的过期时间,我们还知道,Redis一大特点–。那么当Redis中的数据量起来时,如果直接遍历所有的Key,那么对于Key过期时间的校验应该很费时间,那么Redis究竟是怎样做的呢?本文就来探讨关于Redis中的Key的过期册策略。Redis中的过期策略有两种。
Online DDL (Data Definition Language)
09-23 231
是MySQL中的一个功能,允许在修改表结构(如添加、删除或修改列)的同时,允许对表进行并发读写操作。在传统的DDL操作中,对表结构的修改会导致整个表被锁定,从而阻止其他事务对该表进行读写操作,这可能导致长时间的锁定和性能问题。Online DDL的引入解决了这个问题,它允许在修改表结构的同时,保持对表的并发访问。MySQL从5.6版本开始引入了Online DDL的部分功能,而在8.0版本中对Online DDL进行了进一步的优化。
MySQL数据库的增删改查以及基本操作分享
m0_57094953的博客
09-21 443
MySQL数据库基本操作分享,包括增删改查,登录退出,查看数据库、表等
Java Alibaba Druid 数据库连接池
最新发布
miracle的专栏
09-24 555
在Java开发中,数据库连接池是性能优化的重要一环。而作为一款强大的数据库连接池解决方案,凭借其和对多种数据库的支持,成为了许多企业级应用的首选。本篇文章将介绍Druid的核心特性,并结合不同数据库的实际用法。
阿里1688一面总结
weixin_44804108的博客
09-19 643
发布-订阅模式,即当实验发生变更时,就发出一个变更事件,然后,每台机器感知到这个变更事件后,清空本地缓存,触发reload操作。为了避免大量请求打到DB,可以对查询请求进行加锁,保证相同的实验只有一个线程去查,然后更新到缓存中,其他的请求,走缓存查询结果。运维团队将扩缩容事件投递在kafka中,容量平台起一个线程去订阅变更事件,当有事件时,更新公共缓存中的数据。kafka单broker的消息是可以保证顺序性的,但是kafka集群的消息实际是无序的。首先,面试官进行对业务进行介绍,然后,候选人进行自我介绍。
RedisTemplate混用带来的序列化问题
咖啡煮码
09-18 911
RedisTemplate 不要乱用哦,否则极易出现序列化问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值