文章目录
试验前需要掌握的知识
下面内容是试验前你需要了解并掌握的知识,详细的内容可以移步到这篇博客中去学习:试验前的知识储备
XSS部分
1、什么是XSS
2 、什么是XSS攻击
3、 什么是Cookie
4、XSS漏洞的分类
5、XSS的防御
SQL注入部分
1、什么是SQL注入攻击
2、为何会有SQL注入攻击
3. 何时使用SQL注入攻击
4、MySQL简介
5、实施SQL注入攻击
6、防范SQL注入方法汇总
实验部分
实验目的:
了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。
系统环境:
Kali Linux 2、Windows Server
网络环境:
交换网络结构
实验工具:
Beef;AWVS(Acunetix Web Vulnarability Scanner);SqlMAP;DVWA
试验原理:
见试验前所需要掌握的知识
实验步骤
XSS部分:利用Beef劫持被攻击者客户端浏览器
1、利用AWVS扫描留言簿网站
首先我们需要下载好AWVS,并且配置好实验环境:
搭建GUESTBOOK留言簿网站
我们使用Windows Server搭建guestbook,首先在虚拟机中安装好Windows Server,然后点击开始按钮,选择管理工具选项卡,再点击信息服务管理系统。
然后右击网站选项卡,点击新建,再点击网站,见下图:
然后根据流程走,导入事先下载好的网站文件即可,见下图:
这里一定要选择没有被占用的端口:
点击浏览,找到对应文件点击确定即可:
这里是自己搭建用来做实验的全选就可以了:
然后我们右击刚刚搭建好的网站点击权限,再点击添加Everyone,权限给完全控制即可,见下图:
然后我们就可以使用http://127.0.0.1:设置好的端口号/message.asp
打开我们的网站了,这里我用的8888端口,所以使用的是http://127.0.0.1:8888/message.asp
来登陆的网站: