第五天的信息安全实训

最新推荐文章于 2024-04-19 19:14:49 发布
最新推荐文章于 2024-04-19 19:14:49 发布
阅读量91 收藏
点赞数
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46375872/article/details/116489381
版权

1、SQL注入防范
运行项目,开启sql服务,将项目的数据库导入sql server,然后用myeclipse8.5运行项目,在用户登录界面用户名处输入万能密码admin’ or 1=1 --’,密码处输入任意字符,点击登录,发现不能绕过后台登录系统。
在这里插入图片描述

用户登录模块所使用的关键SQL语句。
在这里插入图片描述

再次运行项目,使用万能密码admin’ or 1=1 --'进行登录,发现可以成功登录。
在这里插入图片描述
登录的是稻草人的账号。
2、跨站攻击防范
在项目中编写代码,在用户提交留言时将<和>分别替换为>和<,再次在留言板中提交JS代码:,发现提交的代码已经能够正常显示。
在这里插入图片描述
在这里插入图片描述

在项目中编写代码,在用户提交文章评论时将<和>分别替换为>和<,再次在文章评论中提交JS代码:< script>alert(“xxx”)< /script>,观察提交的代码能够正常显示。
在这里插入图片描述
在这里插入图片描述
3、上传攻击防范
运行项目,在网站中寻找能够上传文件的位置,尝试上传菜刀马。
在这里插入图片描述

发现上传失败了。通过分析项目源代码,找到了项目在某处对上传文件类型做了某种限制。它只允许上传jpg,png,gif文件。
在这里插入图片描述

将菜刀马的文件后缀修改为图片类型。再次上传发现上传成功。
在这里插入图片描述

尝试获取图片地址,并使用中国菜刀进行连接。能进去,但再进一步的点击文件夹则进不去。
在这里插入图片描述

注释掉文件上传限制,上传jsp后缀的菜刀马。所有功能都可以正常使用。在这里插入图片描述
经过了五天的信息安全实训课的学习,我学会的不是很多,但是我了解到了很多,感谢湛老师连续一周不断地教学,希望以后有机会有幸能与湛老师系统完善的学习网络安全的知识。

18计科一班王雪纯
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
软件工程项目实训第一阶段
05-18
综上所述,该软件工程项目实训第一阶段涵盖了从需求分析到技术实现的全过程,不仅关注于功能的实现,还注重系统的稳定性和安全性。通过对各个阶段的深入解析,我们可以更全面地理解项目的核心要点和技术难点。
Android企业实训专项方案.docx
11-24
包含日常考勤管理,项目过程中进度管理,质量管理,申报管理和信息安全管理等。 Android 实训体系 Android 实训体系分两阶段实施。第一阶段:Android 基础知识强化在该阶段,由项目经理依据项目标需要,强化受训...
信息安全实训第五天ctf竞赛 WriteUp
ybj100的博客
04-19 696
SQL注入(SQL Injection)是一种代码注入技术,攻击者通过在应用程序的输入字段中插入(或“注入”)恶意的SQL代码,从而欺骗应用程序的后端数据库服务器执行非授权的任意SQL命令。当开发者希望代码更灵活,将被包含的文件设置为变量,通过动态变量来引入需要包含的文件时,如果服务器端未对变量值进行合理地校验或者校验被绕过,就可能导致文件包含漏洞。文件包含是程序开发中的一项常用技术,它允许开发者将重复使用的函数或代码片段写入单个文件中,然后在需要的地方直接引用这个文件,而不是重复编写相同的代码。
信息安全第三天实训内容总结
ybj100的博客
04-18 628
其中一个更大的优势在于由于phpMyAdmin跟其他PHP程序一样在网页服务器上执行,但是您可以在任何地方使用这些程序产生的HTML页面,也就是于远端管理MySQL数据库,方便的建立、修改、删除数据库及资料表。利用文件包含漏洞的方法有多种,例如利用包含漏洞将用户上传的恶意代码由包含函数加载并执行,或者向Web日志中插入恶意代码并通过文件包含漏洞执行。为了防御文件包含漏洞,可以采取一些措施,如对用户提交的文件路径进行有效的验证和过滤,以防止恶意文件路径被提交;使用安全的编程实践和框架来减少漏洞的可能性等。
信息安全专业实训(第一天)
qq_62745045的博客
04-15 898
web漏洞攻击
信息安全专业实训(第三天)
qq_62745045的博客
04-17 250
Web站点渗透实践
信息安全实训周-第三天
qq_68120942的博客
04-18 189
找到的用于连接数据库的用户名和密码。mysql日志功能成功开启的界面。截取数据库管理系统的版本号信息。利用漏洞构造的文件包含url。成功登入数据库后台界面。
信息安全实训课第一天总结反思
ybj100的博客
04-15 617
alert('XXX')</script>,回车后命令被执行。2、打开XSS(Reflected)界面,点击Submit,修改地址栏中的name=<script>alert('XXX')
信息安全实训第一周第五天汇报
2301_80799156的博客
04-19 231
输入用户名发现输入字母会自动转大写,不能输入特殊符号,进入开发者工具发现有前端脚本的限制,点击设置禁用本网站的js,找到flag,因为flag内容存在大小写字母数字和等于号,使用base64解码器。发现不支持php文件上传,修改文件后缀名+.jpg保存上传,发现可以。打开网站,发现有上传文件功能,尝试使用一句话木马上传php文件。发现可以上传文件,尝试用一句话木马上传php文件。连接成功,选择flag.php打开得到flag。进入网站,发现没有异常,尝试用蚁剑连接。得到上传路径,采用zip伪压缩。
信息安全专业实训(第四天)
qq_62745045的博客
04-18 850
CTF之MISC(安全杂项)部分题目
信息安全实训Day5
m0_51498031的博客
04-23 4212
今天是信息安全实训第五天,今天开始了应用层的学习,学习应用层也意味着从前几天的网络安全部分,进入到了web安全、应用安全的领域了,然后今天学习了两个实验:http cookies劫持攻击实验和DNS劫持实验,下面是我总结的重点内容: 1、应用层中的应用软件服务模式:客户/服务器(C/S){稳定性好,功能性强,体验感好但是兼容性差,成本高}、浏览器/服务器(B/S)、P2P(对等体系结构)。 2、HTTP协议:超文本传输协议,是互联网上最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。 3、HTT
信息安全实训Day3
m0_51498031的博客
04-21 1987
今天是信息安全实训第三天,今天的课程首先复习了下昨天下午所讲的部分网络层前面部分IP寻址和编址的内容,然后讲了IP路由、IP分片、IP数据包头等内容,了解了ARP协议的内涵与工作原理接着进行了ARP欺骗攻击实验,现将今天的重点内容整理如下: 1、属于网络层协议的是:IP、ARP、ICMP、IGMP。 2、路由表:路由器收到一个数据包,根据数据包目的网络,查询路由表,如果有条目,找到指定的接口转发,并指名下一条,如果没有条目,则丢弃该数据包。 3、路由表的丰富方式有三种:直连路由(天生自带)、静态路由(人手工
网络安全实训报告.doc
07-09
网络安全实训报告 ——X-Scan漏洞扫描 学生姓名: 指导教师: 马玉萍 班 级: 计算机0954 学 号: 2011年06月 信息工程学院 目录 第一章 概述 1 1.1 设计的目的(意义) 2 1.2 漏洞扫描简介 3 1.3 课程设计的内容 4 ...
外贸单证实务与实训参考答案.doc
07-01
以上知识点是外贸单证实务与实训中的基础,掌握这些知识对于从事外贸工作的人员至关重要,能够确保业务操作的规范性和安全性,避免因单证问题导致的经济损失。在实际工作中,还需要结合具体的贸易条款、国家政策和...
第6单元:实训-小型校园网网络解决方案的设计与实施.docx
06-19
小型校园网网络解决方案的设计与实施 ...通过本实训,学生可以学习到小型校园网网络解决方案的设计和实施,提高其网络管理和维护的能力,同时也可以提高其安全意识和保护网络中数据和用户信息的能力。
毕设酒店管理系统论文视频源码集.zip
07-27
[毕设]酒店管理系统论文视频源码集" 是一个针对计算机科学或信息技术相关专业学生毕业设计项目的综合资源包。这个资源集包含了酒店管理系统开发所需的各个方面,旨在帮助学生从理论到实践全面理解和掌握酒店管理系统的开发流程和技术细节。 具体来说,这个资源集通常包括: 论文:详细阐述了酒店管理系统的背景、需求分析、系统设计、实现过程及测试验证等各个环节,为学生提供了系统的理论框架和思路指导。 视频教程:通过视频形式,直观地展示了酒店管理系统的开发过程,包括开发环境的搭建、代码编写、数据库设计、功能实现等步骤,便于学生理解和模仿。 源码:提供了酒店管理系统的完整源代码,包括前端界面、后端逻辑及数据库设计等部分,学生可以直接下载并运行,或者根据自己的需求进行修改和扩展。 综上所述,"毕设酒店管理系统论文视频源码集"是一个集论文指导、视频教学和源码实践于一体的综合性资源,对于想要进行酒店管理系统开发的学生来说,具有极高的参考价值和实用性。 参考4条信息源
Qt6.7.2+cmake构建eCAL+protobuf的Demo
07-27
Qt6.7.2+cmake构建eCAL+protobuf的Demo。 1.send Demo 2.rec Demo
pillow-10.4.0-cp313-cp313-macosx_11_0_arm64.whl
07-27
基本介绍 名称与起源:Pillow,原名为PIL(Python Imaging Library),但PIL只支持Python 2版本。随着Python 3的普及,Pillow作为PIL的一个分支出现,兼容Python 3并提供更多的功能和改进。 主要功能:Pillow支持多种图像格式的打开、保存、显示以及基本的图像操作和处理,如裁剪、缩放、旋转、翻转、滤镜应用等。 跨平台性:Pillow库可以在不同的操作系统上运行,包括Windows、Linux和MacOS等。 主要功能模块 Pillow库包含多个功能模块,每个模块都提供了特定的图像处理功能。以下是一些常用的模块: Image:用于处理图像文件,提供打开、保存、调整大小、旋转、裁剪、滤镜等功能。 ImageDraw:提供在图像上绘制各种形状(如线条、矩形、圆形)和文本的功能。 ImageFont:用于加载和使用TrueType字体文件,以便在图像上绘制文本时设置字体样式、大小和颜色。 ImageFilter:提供各种滤镜效果,如模糊、锐化、边缘增强等,用于图像增强、特效处理和图像识别等应用。 ImageEnhance:用于调整图像的亮度、对比度、颜色饱和度等参数,使图像更加清晰、明亮或具有特定的调色效果。 高级功能 除了基本的图像处理功能外,Pillow还支持一些高级功能,如色彩空间转换、直方图均衡化等。这些功能可以帮助用户进行更复杂的图像处理和分析。
ensp模拟器防火墙USG6000V-enspv1.3,设备包
最新发布
07-27
ensp模拟器防火墙USG6000V-enspv1.3,设备包
计算机网络安全技术实训与应用指南
该书在当前社会背景下显得尤为重要,随着信息技术的发展,计算机网络已经成为推动社会经济、国防建设和日常生活的关键力量,但同时也面临着严峻的信息安全挑战。 本书共分为九章,以实践和应用为核心,引导读者步入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值