XSS和SQL注入
实验目的:
了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。
系统环境:
Kali Linux 2、Windows Server
网络环境:
交换网络结构
实验工具:
Beef;AWVS(Acunetix Web Vulnarability Scanner);SqlMAP;DVWA
XSS部分:利用Beef劫持被攻击者客户端浏览器
实验环境搭建
角色:留言簿网站。存在XSS漏洞;(IIS或Apache、guestbook搭建)
攻击者:Kali(使用beEF生成恶意代码,并通过留言方式提交到留言簿网站);
被攻击者:访问留言簿网站,浏览器被劫持
1、利用AWVS扫描留言簿网站,发现其存在XSS漏洞
(1)搭建留言薄网站
(2)用AWVS扫描留言簿网站