信息安全实训课6

已于 2022-12-04 11:41:29 修改
阅读量127 收藏
点赞数
分类专栏: 信息安全实训课 文章标签: 网络安全
于 2022-04-23 19:58:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53233197/article/details/124368757
版权

Web漏洞学习(信息安全实训学习)

1 易受攻击的网络部署

(1)运行phpstudy服务器,确保阿帕奇和mysql正常启动,截取两个点均为圆点的界面图
在这里插入图片描述

  • 注意:如果出现端口被占用的情况,点击其他选项菜单,更改端口设置中的端口号

(2)修改学习练习的网站安全级别为LOW,截取LOW图
在这里插入图片描述

2 密码登录绕过的学习

(1)打开Brute Force界面,测试登陆框是否存在注入,提交敏感字符测试程序是否报错。在登录界面上输入一些东西’ 1(必须含有敏感字符‘)。
(2)仔细观察登录系统时地址栏中的sql语句和各种报错提示,在用户名密码提交界面上通过注入逻辑语句使登录判断失效,进入受保护页面。
在这里插入图片描述

3 命令注入

(1) 打开Command Injection界面,在该界面提供一个命令行执行环境,输入ip地址返回ping命令的结果。
(2)window和linux系统都可以用&&在同一行附加执行其他命令,尝试注入附加命令使目标主机(延时)关机。(代码为:ip地址 shutdown -s -t 时间)
在这里插入图片描述

  • 在cmd输入shutdown -a 可以取消注销。

4 跨站请求伪造

(1)打开CSRF界面,可在New password和Confirm new password处正常修改登录口令。
在这里插入图片描述
(2)构造一个链接: (注意IP地址改为网站实际地址) 利用在线短链接生成器伪造该链接:
在这里插入图片描述

(3)诱骗其它已登录该网站的用户点击该链接,通过伪造身份提交密码修改,直接跳转到修改密码成功的页面,成功把密码修改为123
在这里插入图片描述

5 文件上传

(1)建立一个PHP文件,内容为:。打开File Upload界面,将PHP一句话木马上传。
在这里插入图片描述
(2)得到木马在服务器上的路径。打开中国菜刀,配置信息添加木马路径及密码。
在这里插入图片描述
(3)双击网址进入文件管理。(注:这里可以进行文件管理,数据库管理,虚拟终端或运行自写脚本)
在这里插入图片描述
(信息安全实训课系列所有内容及案例仅用于密码学研究及信息安全评估仅供学习使用,严禁用于非法用途,如有违反本人不承担任何责任)

且将&
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
信息安全实训5
且将&的博客
04-23 1991
身份认证与口令检测 1 弱口令爆破 (1)使用ftp工具在本机部署ftp服务,设置用户名为admin,密码为admin@123 (2)利用字典进行爆破,截爆破结果图 爆破时左边栏只选FTP,选上“扫描端口”,“只破解一个账户”,取消勾选“不根据检查服务自动选择密码字典”,之后点击“开始检查”。 (3)开启本机的sql server服务,爆破sqlserver的管理员账户密码 左边栏选择改为SQLServer,其余步骤与上一题相同 2 口令强度判断(弱口令检测) (1) 程序password.cpp
信息安全实训4
且将&的博客
04-21 2434
公钥密码学 1 非对称加密 1.1 从对称到非对称 几千年来,几乎所有的密码体制都是基于替换和置换这些初等方法。 这些方法在 电子机械转轮机(恩尼格玛) 和电子计算机(DES) 中发展到了巅峰。 公钥(非对称)密码学的出现和发展是密码学史上最大(唯一)的一次革命。 公钥密码学的概念是为了解决传统密码中最困难的一个问题而提出的:密钥的安全分配问题 1976年Diffie和Hellman针对上面的问题提出了单向函数加密方法,这种方法和之前数千年来密码学中的所有方法有根本的区别,即公钥密码体制。 非对称加密算
信息安全实训3
且将&的博客
04-21 2555
信息加密与信息摘要 1古典密码学 1.1信息传递过程中可能遇到的问题 (1)被动攻击 截获 (2)主动攻击 中断 篡改 伪造 现代密码学 消息摘要与数字签名
信息安全实训1
且将&的博客
04-20 765
信息时代的安全威胁 1 黑客与网络攻击 1.1关于黑客 白帽子创新者 灰帽子创新者 黑帽子破坏者 脚本小子 1.2网络威胁的来源 国家、恐怖分子、计算机恐怖分子、有组织的犯罪分子、新闻媒体、自媒体、工商业竞争、有怨言的员工、粗心的员工、缺乏安全意识的员工 1.3网络威胁的形式 控制 窃取 破坏 入侵三部曲: 预攻击——信息搜集 攻击——隐藏自身、口令猜解、社会工学、网络钓鱼、漏洞攻击 后攻击——维持权限、持续监听 2 黑客入侵流程演练 2.1在windows上部署一个IIS web服务 安装IIS相关环境并
信息安全实训day3
qq_63603591的博客
04-19 277
这次的网络渗透操作有些复杂,我们利用渗透测试来模拟黑客攻击web应用程序的安全性过程。之后可以用蚁剑或者菜刀软件来连接创建的shell.php文件,输入此网页的网址,密码就是一句话木马中的中括号的1,我们需要准备靶机和攻击机,开启靶机让它成为服务器,然后用攻击机的chrome浏览器输入靶机ip进入网站。然后查看御剑扫描的结果,找到info.php路径打开网页后如下图,圈起来的部分为绝对路径。进入渗透测试的实验后,点击工具,打开虚拟机,待其右下角显示电脑的标志表示启动成功。点击sql,输入以下语句,
信息安全实训day1
qq_63603591的博客
04-18 163
今天的主要任务是渗透测试,利用web服务端的各种漏洞,去攻击网站,篡改密码,窃取目标主机的数据库等。
信息安全实训day2
qq_63603591的博客
04-19 125
特征,通过实验,连接网络攻击的特点及危害,思考防御的方法和及时地修复网络漏洞。今天学习的主要内容为。1.SYN半连接攻击。
信息安全实训7
且将&的博客
04-24 86
web安全加固 1 SQL注入防范 (1)运行项目,在用户登录界面用户名处输入万能密码admin’ or 1=1 --',密码处输入任意字符,点击登录,观察是否能绕过后台登录系统。 绕过不成功的原因:项目使用PreparedStatement方法完成SQL语句的执行,该方法要求在执行SQL语句之前,必须告诉JDBC哪些值作为输入参数,解决了普通Statement方法的注入问题,极大的提高了SQL语句执行的安全性。 (2)在项目中找到用户登录模块所使用的关键SQL语句。 将原来的语句改为 tr
信息安全实训2
且将&的博客
04-20 460
网络测试命令 1 网络测试常见命令 1.1 ipconfig命令 执行ipconfig/all命令,将执行结果截图 执行ipconfig/displaydns命令,查看本机缓存了哪些服务器域名 1.2 ping命令 利用ping命令向www.baidu.com发送1000字节的数据包 利用ping命令向www.baidu.com发送10000字节的数据包2个 ping命令返回的TTL值可以粗略判断对方主机的操作系统,例如: WIN NT/2000默认TTL:128 WIN 95/98 TTL:
信息安全概论实训大纲
11-04
信息安全概论》是信息安全技术专业必修的一门专业基础,而且信息安全概论实训程是一门实践性很强的程,主要为配合信息安全的相关理论知识,以此为基础进行一系列的实际安全配置实验训练。在实训学习和实践...
上海电机学院C语言实训答案
01-22
解除C语言实训烦恼 “计算机能力强化实训”(C语言)任务书 一、实训目的 C语言程序设计是本科工科类各专业的重要基础,主要学习程序设计的基本概念和方法,通过本门程学习,使学生掌握C语言的基本原理,熟练...
计算机应用基础实训大纲定稿版.docx
06-04
3 任务3使用和维护WindowsXP操作系统 任务4常用软件的使用 软件的安装与使用 安装使用360安全卫士 4 第三章Internet的使用 计算机应用基础实训大纲定稿版全文共6页,当前为第3页。任务1了解Internet提供的服务 ...
《计算机应用基础》实训计划(三稿).doc
06-01
《计算机应用基础》实训计划 一、程的培养目标 《计算机应用基础》是中职阶段各专业学习计算机基础知识和操作应用的首选程,是 适应社会信息化发展要求的一门公共基础程。通过本门程的学习,目标要是...
每周一 _ 你的手机_移动存储设备还安全吗?.pdf
09-18
每周一 _ 你的手机_移动存储设备还安全吗? 数据安全与治理 安全对抗 安全防护 攻防实训与靶场 开发安全
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8260
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
pd16.py11111111111
最新发布
06-02
pd16.py11111111111
u-boot-2024.07-rc3.tar.bz2
06-02
【U-Boot 2024.07源码深度解析】002 - 下载及编译 U-Boot 源码 https://blog.csdn.net/Ciellee/article/details/139381921 配套的资源
287_基于移动端选系统的设计与实现-源码.zip
06-02
提供的源码资源涵盖了安卓应用、小程序、Python应用和Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行程实践、外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。
信息安全专业实训项目
10-12
信息安全专业实训项目可以包括以下内容: 1. 网络安全实验:包括网络拓扑搭建、漏洞扫描、渗透测试等,让学生了解网络安全的基本概念和实践操作。 2. 数据加密实验:包括对称加密和非对称加密算法的实现,让学生了解数据加密的原理和应用。 3. 安全编程实验:包括代码审计、漏洞修复等,让学生了解常见的安全漏洞和防范措施。 4. 安全管理实验:包括安全策略制定、安全事件响应等,让学生了解企业安全管理的流程和方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值