1. 实验内容
1、Web前端HTML
能正常安装、启停Apache。理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML。
2、Web前端javascipt
理解JavaScript的基本功能,理解DOM。
在1.的基础上,编写JavaScript验证用户名、密码的规则。在用户点击登陆按钮后回显“欢迎+输入的用户名”。尝试注入攻击:利用回显用户名注入HTML及JavaScript。
3、Web后端:MySQL基础:正常安装、启动MySQL,建库、创建用户、修改密码、建表
4、Web后端:编写PHP网页,连接数据库,进行用户认证
5、最简单的SQL注入,XSS攻击测试
6、安装Webgoat或类似平台,并完成SQL注入、XSS、CSRF攻击。
2. 实验过程
2.1 Web前端HTML
Web前端HTML启动apache并查看其状态,浏览器打开127.0.0.1
在/var/www/html的位置里面创建bcc.html
登录一下
2.2 Web前端javascipt
加入规则以后修改上一步的bcc.html
在没有密码和用户名时报错,有的时候直接登录
好像忘记打欢迎俩字了
利用回显用户名注入HTML及JavaScript
<b>HTML注入攻击20202402</b> #HTML注入
<script type="text/javascript"> alert("JavaScript注入攻击20202402") </script> #JavaScript注入
2.3 Web后端:MySQL
先查询一下MySQL状态systemctl status mysql
输入show database查看数据库
查看用户数据select host, user, password from user
创建数据库bcc,并使用
修改root密码set password for ‘root’@‘localhost’ = password(‘2402’)
在表里面插入数据,可以看到已经将一组用户名和密码加到表user中
2.4 Web后端:编写PHP网页
如图的php文件
登录成功
登陆失败
2.5 最简单的SQL注入,XSS攻击测试
以‘ or 1=1;–为用户名,永真
‘bcc’ or 1=1;–也可以
XSS攻击:XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列
表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实施比如SQL注入攻击服务器和数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨大的,是web安全的头号大敌。
XSS弹出警告<script> alert("bccXSS攻击") </script> # 弹出警告
2.6 安装Webgoat或
下载webgoat:https://github.com/WebGoat/WebGoat/releases
使用java -jar webgoat-2023.4.jar安装
然后在给出的网站里做题就OK
3. 问题及解决方案
启动MySQL时候报错ERRO2002
重启即可service mysql restart
4.学习感悟
这学期的最后一次实验了,学了三年第一次感受到网络安全这个专业领域的魅力与重要性,为数不多的让我会感兴趣的实验,而不是为了完成任务不得不做。感谢王老师热情有趣的课堂,在我做实验遇到问题时也不辞辛苦地帮助我。希望在今后的学习生活中还能与王老师合作,再道一声感谢与祝福!
扫一扫
116
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
