qq_57881666-CSDN博客

原创实训6-Web安全加固

1、SQL注入，使用PreparedStatement时，是可以在SQL语句中，对值所在的位置使用?这种占位符，使用占位符之后，实际的值，可以通过另外一份放在数组中的参数来代表。此时PreparedStatement会对值做特殊的处理，往往特殊处理后，就会导致不法分子的恶意注入的SQL代码失效。修改登录模块的SQL查询相关语句如下所示，再次运行项目，使用万能密码admin' or 1=1 --'进行登录。2、跨站脚本攻击（Cross-site scripting，XSS），攻击者利用漏洞注入恶意

2021-05-07 12:01:40 377 1

原创实训5-Web漏洞利用

1、打开BruteForce界面，提交敏感字符测试程序会发生报错。系统时地址栏中的sql语句，在用户名密码提交界面上通过注入逻辑语句使登录判断失效，进入受保护页面。2、命令注入指的是，利用没有验证过的恶意命令或代码，对网站或服务器进行渗透攻击。打开CommandInjection界面，在该界面提供一个命令行执行环境，输入ip地址返回ping命令的结果，测试连通性的界面。window和linux系统都可以用&&在同一行执行多条命令，尝试注入附加命令使目标主机(延时)关机。&am..

2021-05-06 22:04:21 356

原创实训4-身份认证与口令加密

1、使用ftp工具在本机部署服务，设置用户名为admin，密码为admin@123。利用字典进行爆破，得到ftp的用户名和密码，爆破sqlserver的sa账户密码。

2021-05-06 21:04:45 319 1

原创实训3-信息加密与哈希函数

1、凯撒密码是一种代换密码，基本思想是:通过把字母移动一定的位数来实现加密和解密。栅栏密码，就是把要加密的明文分成N个一组，然后把每组的第1个字连起来，形成一段无规律的话。2、当铺密码就是一种将中文和数字进行转化的密码，当前汉字有多少笔画出头，就是转化成数字几。...

2021-05-04 23:15:19 394

原创实训2-利用常见的网络命令获取网络信息

1、ipconfig/all命令显示所有网络适配器（网卡、拨号连接等）的完整TCP/IP配置信息。与ipconfig相比，它的信息更全更多，如IP是否动态分配、显示网卡的物理地址等。执行ipconfig/displaydns 命令，显示当前主机缓存了哪些服务器域名。2、利用ping命令向www.baidu.com发送1000字节的数据包两个，ping -l定义发送数据包的大小，默认为32字节，ping -n 定义向目标IP发送数据包的次数，ping (ip地址) -t表示不间断向目标IP发送数据包，

2021-05-04 21:41:25 519

原创实训1-流程演练

1、首先需要关闭防火墙和一切杀毒软件，在cmd下进行.net环境安装，启动Internet Information Services可承载的web核心和Internet信息服务功能，从而将ISS web服务器完整安装，将ASP.NET状态服务启动。2、将ASP软件压缩包，解压到一个目录，不要解压到桌面，因为会涉及权限问题，在网站下添加一个新的网站web，物理路径为刚刚下载的ASP软件的地址，IP地址为本机的IP地址，之后在设置修改一下网站版本（需要v4以上的版本），并且把32为兼容改为tr.

2021-05-04 16:58:59 216 1