Exp 8 Web基础 20164318 毛瀚逸

最新推荐文章于 2024-07-13 18:10:19 发布
最新推荐文章于 2024-07-13 18:10:19 发布
阅读量162 收藏
点赞数
文章标签: 数据库 后端 javascript ViewUI
原文链接:http://www.cnblogs.com/breakingdoge/p/10885541.html
版权

 

1.本实践的具体要求有:

(1).Web前端HTML(0.5分)

   能正常安装、启停Apache。理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML。

(2).Web前端javascipt(0.5分)

  理解JavaScript的基本功能,理解DOM。编写JavaScript验证用户名、密码的规则。

(3).Web后端:MySQL基础:正常安装、启动MySQL,建库、创建用户、修改密码、建表(0.5分)

(4).Web后端:编写PHP网页,连接数据库,进行用户认证(1分)

(5).最简单的SQL注入,XSS攻击测试(1分)

 

2.1.基础问题回答

   (1)什么是表单

  记录用户需要填写的信息、传递给后端

   (2)浏览器可以解析运行什么语言。

  html、python、java等等

  (3)WebServer支持哪些动态语言

  php、Java Server Pages、ASP

 

3.1实验步骤

1上次实验中已经用过了apache2,这次就直接打开

然后测试一下,在浏览器中输入127.0.0.1

apache2服务正常开启

 

然后进入/var/html/www目录,建立一个新的表格

 

代码如图

 1 <html>
 2 <head>
 3 <title>Login in</title>
 4 <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
 5 </head>
 6 <body>
 7     <h2 align="center">Login</h2><center>
 8         <form action="login" method="post">
 9             <input placeholder="E-mail" name="Name" class="user" type="email">
10             <br>
11             </br>
12             <input  placeholder="Password" name="Password" class="pass" type="password">
13             <br>
14             </br>
15             <input type="submit" value="Login">
16         </form>
17 </body>
18 </html>

在浏览器打开,可以看到效果

3.2Web前端JavaScript

在原有基础上,添加一段JavaScript代码在form之后,以判断用户是否填写用户名和密码。

<html>
 2 <head>
 3 <title>Login</title>
 4 <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
 5 </head>
 6 <body>
 7     <h2 align="center">Login</h2>
 8     <center>
 9         <form action="login" method="post" name="form_login">
10             <input placeholder="E-mail" name="Name" class="user" type="email" οnfοcus="if (this.value=='Your email') this.value='';" />
11             <br>
12             </br>
13             <input  placeholder="Password" name="Password" class="pass" type="password" οnfοcus="if (this.value=='Your password') this.value='';"/>
14             <br>
15             </br>
16             <input type="submit" value="Login"  onClick="return validateLogin()"/>
17         </form>
18     </center>
19 <script language="javascript"> 
20     function validateLogin(){ 
21         var sUserName = document.form_login.Name.value ; 
22         var sPassword = document.form_login.Password.value ;   
23         if ((sUserName =="") || (sUserName=="Your email")){ 
24         alert("User Email!"); 
25         return false ; 
26         } 
27         if ((sPassword =="") || (sPassword=="Your password")){ 
28         alert("Password!"); 
29         return false ; 
30         } 
31     }  
32 </script> 
33 </body>
34 </html>

效果如图

 

3.3Web后端:MySQL基础
使用/etc/init.d/mysql start命令开启mysql服务

 

使用mysql -u root -p命令,并输入默认密码password登录,进入mysql中

使用show database查看数据库信息

好像哪有点问题,那么我们新建数据库

然后use BreakingDoge对新建的库进行调用

调用之后创建一个新的数据表MHY

再使用insert into 表名 values('值1','值2','值3');命令,在数据表中填写相应的数据

使用grant select,insert,update,delete on 数据库.* to 用户名@登录主机 identified by "密码";命令 在数据库中增加新的用户。

最后更改密码,使用update user set password=PASSWORD("4318") where user='root';将密码改为4318

 

 

3.4Web后端:编写PHP网页,连接数据库,进行用户认证

我们用PHP和MYSQL两者结合再加上之前编写的简单的登陆网页进行身份验证

 

 

可以看到效果

3.5最简单的SQL注入,XSS攻击测试

SQL注入:通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。

将SQL查询语句改为select * from wyhy where username='' or 1=1#' and password='',此时在用户名输入框中输入' or 1=1#

 

因为#直接把后面的判断注释掉,直接成功。。。。

3.5.2XSS攻击测试

将一张图片放在/var/www/html目录下。

在用户名输入框输入<img src="*.jpg" />

 但是不知道为什么失败了。。。。

 

4实验心得

这次实验似乎更加贴近与生活了,我之前在新闻里面看到的入侵的手法也在这次的实验中有所体现,感觉很有意思啊。

转载于:https://www.cnblogs.com/breakingdoge/p/10885541.html

baochenlu2165
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web基础:Token
不怕猫的耗子A
03-08 3万+
传统身份验证的方法: HTTP 是一种没有状态的协议,也就是它并不知道是谁是访问应用。这里我们把用户看成是客户端,客户端使用用户名还有密码通过了身份验证,不过下回这个客户端再发送请求时候,还得再验证一下。解决的方法就是,当用户请求登录的时候,如果没有问题,我们在服务端生成一条记录,这个记录里可以说明一下登录的用户是谁,然后把这条记录的 ID 号发送给客户端,客户端收到以后把这个 ID 号存储在 C...
2013phpweb漏洞利用EXP
03-28
2013phpweb漏洞利用EXP
20164318 毛瀚逸-----EXP5 MSF基础应用
04-20 274
1. 实践内容 本实践目标是掌握metasploit的基本应用方式,重点常用的三种攻击方式的思路。具体需要完成: 1.1一个主动攻击实践,如ms08_067; (成功) 1.2 一个针对浏览器的攻击,此处我用了ms16_051(唯一,成功); 1.3 一个针对客户端的攻击,如Adobe;(成功) 1.4 成功应用任何一个辅助模块。(唯一,成功) 2...
20164318 毛瀚逸 Exp3 免杀原理与实践
03-31 173
1实验要求 1.1 正确使用msf编码器(0.5分),msfvenom生成如jar之类的其他文件(0.5分),veil-evasion(0.5分),加壳工具(0.5分),使用shellcode编程(1分) 1.2 通过组合应用各种技术实现恶意代码免杀(0.5分) (如果成功实现了免杀的,简单语言描述原理,不要截图。与杀软共生的结果验证要截图。 1.3 用另一电脑实测,在杀软开启的情...
深入浅出Pytorch函数——torch.exp
热门推荐
冯·诺依曼
03-28 1万+
torch.exp(input, *, out=None) → Tensor
网络安全中的POC、EXP、Payload、ShellCode
日拱一卒,功不唐捐
09-18 8621
POC:概念证明,即概念验证(英语:Proof of concept,简称POC)是对某些想法的一个较短而不完整的实现,以证明其可行性,示范其原理,其目的是为了验证一些概念或理论。在计算机安全术语中,概念验证经常被用来作为0day、exploit的别名。EXP:利用(英语:Exploit,简称EXP)一般指可利用系统漏洞进行攻击的动作程序。Payload:中文 ’ 有效载荷 ',指成功exploit之后,攻击代码释放的具有攻击能力的能够实现攻击者目的的代码。
Web安全之PoC、Exp和Payload的关系
jiet07的博客
10-26 3981
POC和EXP POC = Proof of Concept中文意思是“观点证明”。这个短语并非仅仅在漏洞报告中使用,甲方在项目招标过程中也常常要求乙方提供POC,即证明你的方案或者产品能达到声称的功能或性能,漏洞报告中的POC则是一段说明或者一个攻击的样例,使得读者能够确认这个漏洞是真实存在的。 EXP = Exploit的中文意思是“漏洞利用”。意思是一段对漏洞如何利用的详细说明或者一个演示的漏洞攻击代码,可以使得读者完全了解漏洞的机理以及利用的方法。 POC,是用来验证漏洞是否存在的一段代码。 EXP
c 语言exp函数,C 库函数 – exp() - C 语言基础教程
weixin_42581003的博客
05-20 3492
C 标准库 – 描述C 库函数 double exp(double x) 返回 e 的 x 次幂的值。声明下面是 exp() 函数的声明。double exp(double x)参数x — 浮点值。返回值该函数返回 e 的 x 次幂。实例下面的实例演示了 exp() 函数的用法。#include #include int main (){double x = 0;printf("e 的 %lf 次...
C++ exp()函数用法
m0_54615144的博客
02-01 6263
exp函数exp,高等数学里以自然常数e为底的指数函数,它同时又是航模名词,全称Exponential(指数曲线在医药说明中,EXP是指使用期限,即Expiry date(Exp date)。除此之外,EXP(Expedition) 是世界著名项目管理软件供应商美国Primavera公司的主要产品之一,是国际规范的施工管理和合同及建设信息管理软件。exp还指行业软件的高级专家版,在灵活性和功能上比专业版(pro)更加强大,也更加复杂。
061 python实现EXP
鸡蛋炒鸡蛋
04-20 4921
文章目录一:概述二:环境准备三:requests库3.1:发送get请求3.2:相关方法3.3:相关操作3.3.1:定制头部3.3.2:超时3.3.3:GET传参 一:概述 python编写EXP,以web漏洞为主 exp 漏洞利用工具 1、能够看懂别人写的exp,并修改 2、能自己写exp 基础环境python3 核心模块requests 模块说明 requests是使用Apache2 license 许可证的http库 用python编写,比urllib2模块更简洁 requests支持http
学生用计算机exp,科学计算器EXP
weixin_30824121的博客
06-17 3610
你写, 我算!科学计算器EXP是一个强大的科学运算式计算器用于计算其他普通计算器所无法处理的复杂的数学运算式。它支援40种常用的数学函数。它也能够保存历史输入和计算结果。科学计算器EXP支援从Android 1.5到Android 4.0在内的所有手机和平板电脑。科学计算器EXP全面支援正体中文和简体中文。输入:使用者可以用键盘或者函数按钮输入运算式,也可以点击输出结果框或者历史记录将输出结果或者...
K8_Struts2_EXP S2-045 20170310.rar
03-31
标题中的"K8_Struts2_EXP S2-045 20170310.rar"提到了一个特定的安全漏洞——S2-045,这是Struts2框架中的一个严重问题,影响了多个版本的Struts2。 S2-045漏洞,全称为"Struts2 OGNL注入漏洞",源于Struts2框架...
基于python编写的Web安全检测PoC&&EXP框架+源码+开发文档+代码解析(毕业设计&课程设计&项目开发)
04-22
基于python编写的Web安全检测PoC&&EXP框架+源码+开发文档+代码解析,适合毕业设计、课程设计、项目开发。项目源码已经过严格测试,可以放心参考并在此基础上延申使用~ 基于python编写的Web安全检测PoC&&EXP框架+...
EXP-V8.zip
03-28
在IT行业中,这种命名通常代表一个特定版本或实验版本(EXP可能表示Experimental),V8可能指的是第8次迭代或版本8。这种格式常用于分享大型文件集,以便于通过电子邮件或其他在线平台进行传输。 【描述】虽然没有...
byeintegrity-uac-master_exp_UAC_advanced_vc++_win7/win8_
09-30
标题中的“byeintegrity-uac-master_exp_UAC_advanced_vc++_win7/win8_”似乎是一个项目或软件的名称,暗示我们正在处理一个与Windows操作系统用户账户控制(User Account Control, UAC)相关的高级安全研究或者开发...
set user & password for database 设置数据库 用户和密码
DavidsonGong的博客
07-12 105
USE sbms;
7.10飞书一面面经
东篱君的博客
07-10 1146
B+树的⾮叶⼦节点不存放实际的记录数据,仅存放索引,所以数据量相同的情况下,相⽐存储即存索引⼜存记录的 B 树,B+树的⾮叶⼦节点可以存放更多的索引,因此 B+ 树可以⽐ B 树更「矮胖」,查询底层节点的磁盘 I/O次数会更少。主从复制:单节点Redis的并发能力是有上限的,要进一步提高Redis的并发能力,可以搭建主从集群,实现读写分离。B+ 树有⼤量的冗余节点(所有⾮叶⼦节点都是冗余索引),这些冗余索引让 B+ 树在插⼊、删除的效率都更⾼,⽐如删除根节点的时候,不会像 B 树那样会发⽣复杂的树的变化;
mysql笔记1
m0_62975692的博客
07-11 313
首先查看systemctl status mysqld,如果是关闭的可以进入的配置文件打开mysql,我的mysql配置文件就是在/usr/local/mysql/support-filess/下,在此目录下执行./mysql.server start,打开mysql服务,也可以通过systmectl start mysqld,如果你嫌麻烦的话可以systemctl enable mysqld 一直打开mysql的服务;重新给字段添加约束的时候不可以添加not null约束的!
Redis集群和高可用
最新发布
xiaogengtongxu的博客
07-13 313
主从架构无法实现master和slave角色的自动切换,即当master出现redis服务异常、主机断电、磁盘损坏等问题导致master无法使用,而redis主从复制无法实现自动的故障转移(将slave 自动提升为新master),需要手动修改环境配置,才能切换到slave redis服务器,另外当单台Redis服务器性能无法满足业务写入需求的时候,也无法横向扩展Redis服务的并行写入性能。master和slave角色的无缝切换,让业务无感知从而不影响业务使用。
怎么用properties文件连接名为web exp003的数据库
04-24
您可以使用以下代码来实现: ``` import java.io.FileInputStream; import java.io.IOException; import java.io.InputStream; import java.util.Properties; import java.sql.Connection; import java.sql.DriverManager; import java.sql.SQLException; public class DatabaseConnection { private Connection connection; private String url; private String username; private String password; public DatabaseConnection(String fileName) throws IOException, ClassNotFoundException, SQLException { Properties props = new Properties(); InputStream inputStream = new FileInputStream(fileName); props.load(inputStream); String driver = props.getProperty("jdbc.driver"); url = props.getProperty("jdbc.url"); username = props.getProperty("jdbc.username"); password = props.getProperty("jdbc.password"); Class.forName(driver); connection = DriverManager.getConnection(url, username, password); } public Connection getConnection() { return connection; } public void closeConnection() throws SQLException { if (connection != null) { connection.close(); } } } ``` 在这个代码中,我们首先加载了一个名为“fileName”的properties文件,它包含了“jdbc.driver”、“jdbc.url”、“jdbc.username”和“jdbc.password”这几个键和它们所对应的值。这些值告诉我们如何连接到名为“web exp003”的数据库。 接下来,我们使用反射来加载数据库驱动程序。然后,我们使用“DriverManager.getConnection()”方法来获取一个数据库连接。 最后,我们定义了“getConnection()”和“closeConnection()”方法,前者返回数据库连接,后者关闭它。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值