实验三:XSS和SQL注入

已于 2023-09-27 00:27:10 修改
阅读量704 收藏 5
点赞数 2
分类专栏: 学习旅程记录 文章标签: xss sql 前端
于 2020-11-27 18:40:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yghlqgt/article/details/110147117
版权

文章目录

试验前需要掌握的知识

下面内容是试验前你需要了解并掌握的知识,详细的内容可以移步到这篇博客中去学习:试验前的知识储备

XSS部分

1、什么是XSS
2 、什么是XSS攻击
3、 什么是Cookie
4、XSS漏洞的分类
5、XSS的防御

SQL注入部分

1、什么是SQL注入攻击
2、为何会有SQL注入攻击
3. 何时使用SQL注入攻击
4、MySQL简介
5、实施SQL注入攻击
6、防范SQL注入方法汇总

实验部分

实验目的:

了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。

系统环境:

Kali Linux 2、Windows Server

网络环境:

交换网络结构

实验工具:

Beef;AWVS(Acunetix Web Vulnarability Scanner);SqlMAP;DVWA

试验原理:

见试验前所需要掌握的知识

实验步骤

XSS部分:利用Beef劫持被攻击者客户端浏览器

1、利用AWVS扫描留言簿网站

首先我们需要下载好AWVS,并且配置好实验环境:

搭建GUESTBOOK留言簿网站

我们使用Windows Server搭建guestbook,首先在虚拟机中安装好Windows Server,然后点击开始按钮,选择管理工具选项卡,再点击信息服务管理系统。
在这里插入图片描述
然后右击网站选项卡,点击新建,再点击网站,见下图:
在这里插入图片描述
然后根据流程走,导入事先下载好的网站文件即可,见下图:
在这里插入图片描述
在这里插入图片描述
这里一定要选择没有被占用的端口:
在这里插入图片描述
点击浏览,找到对应文件点击确定即可:
在这里插入图片描述
这里是自己搭建用来做实验的全选就可以了:
在这里插入图片描述
然后我们右击刚刚搭建好的网站点击权限,再点击添加Everyone,权限给完全控制即可,见下图:

在这里插入图片描述
在这里插入图片描述
然后我们就可以使用http://127.0.0.1:设置好的端口号/message.

最低0.47元/天 解锁文章
yghlqgt
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql手工注入实战
mulincong的博客
05-30 2201
sql手工注入封神台靶场
网络渗透测试 XSSSQL注入
12-02
了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。系统环境:Kali Linux 2、Windows Server网络环境:交换网络结构实验工具: Beef;...
xsssql注入
Coisini的博客
05-22 955
在这篇文章中我将说明所有关于XSS以及更多相关的知识.通过这篇文档,我希望能让你明白什么是XSS,为什么使用XSS,以及怎样使用XSS.一旦你学会了,你将需要发挥自己的创造力,因为大多数人都修补了简单的XSS漏洞.但是他们所忘记做的是修补比XSS的一个字符串更多的漏洞,并且php中特殊安全机制被用来防御XSS,而取代他们自己的方法.同时我将阐述的不仅仅是XSS,而是所有的web安全. XXXXXX...
DVWA靶场存储型XSS漏洞实验
weixin_44851588的博客
05-26 4521
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 来自菜鸟的一次简单分享,本次实验主要结合后台源代码讲解,梳理存储型XSS实验的思路,如果存在问题,请各位大佬多多指导。 一、XSS基础 1.什么是XSSXSS(Cross-site scripting)被称为跨站脚本攻击,由于与层叠样式表的缩写一样,因此被缩写为XSS。 2.XSS漏洞...
2024年XSS基础环境及实验演示教程(适合新手)_xxs实验步骤(1),2024年最新真牛皮
2401_84297560的博客
05-05 392
花了一点时间,做了一个“XSS基础环境及实验演示教程”,当然教程很简单,适合刚接触和安全行业的小伙伴去认识了解XSS漏洞,并且上手实操。欢迎各位提出问题和作者v一起交流:tomorrow_me-Kali机器:192.168.2.108Windows机器:192.168.2.105为了中间实验过程方便,有时候会利用一台云服务器辅助,实验过程中出现为显示IP的地址或者不为以上两个IP时,均为云服务器。1在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。
【白帽子学习笔记】XSSSQL注入
python_LC_nohtyp的博客
11-17 1527
【白帽子学习笔记】XSSSQL注入 yysy姚总布置的实验报告越来越难写了,菜菜的我要写好久,┭┮﹏┭┮ 文章目录【白帽子学习笔记】XSSSQL注入0x01 实验知识点1x01 什么是XSS?1x02 什么是Cookie?1x03 XSS漏洞的分类1x04 SQL注入攻击0x02 XSS部分:Beef1x01 搭建GuestBook网站1x02 AWVS扫描1x03 Kail中使用Beef生成恶意代码1x04 XSS注入漏洞2x01 XSS劫持网站2x02 劫持浏览器指定被劫持网站为学校主
springboot项目防止XSS攻击和sql注入
yy1209357299的博客
02-07 3542
springboot项目防止XSS攻击和sql注入
web跨站脚本攻击(XSS)与sql注入攻击 实例
a116385895的博客
07-02 3166
免责申明:对于此内容仅是提供参考,用于开发人员针对黑客攻击做好安全防范 XSS攻击: 跨站脚本在英文中称为Cross-Site Scripting,缩写为CSS。但是,由于层叠样式表 (Cascading Style Sheets)的缩写也为CSS,为不与其混淆,特将跨站脚本缩写为XSS。 跨站脚本,顾名思义,就是恶意攻击者利用网站漏洞往Web页面里插入恶意代码,一般需要以下几个条件: 客户端访问的网站是一个有漏洞的网站,但是他没有意识到; 在这个网站中通过一些手段放入一段可以执行的代码,吸引客户
软件安全实验2 SQL注入实验
最新发布
06-19
分别是Brute Force(暴力破解)、Command Injection(命令行注入)、CSRF(跨站请求伪造)、File Inclusion(文件包含)、File Upload(文件上传)、Insecure CAPTCHA (不安全的验证码)、SQL Injection(SQL注入)...
适用于asp.net以及IIS服务器测试的网站源码(含有xss以及sql注入漏洞)
05-25
进行网络攻防实践实验+含有xss以及sql注入漏洞+测试IIS服务器网站配置是否成功+为asp.net框架
面向SQL注入XSS攻击的Web入侵检测系统的研究与实现 (1).pdf
01-04
本文提出了一种面向SQL注入XSS攻击的Web入侵检测方法,主要包括三个模块:Web日志采集模块、数据管理模块和入侵检测模块。Web日志采集模块负责将Web日志采集到数据库中,并对日志的数据进行预处理和清洗。数据管理...
信安网络渗透测试实验三.docx
12-15
本实验报告涵盖了 XSSSQL 注入两方面的知识点,从实验目的、实验内容、实验过程等方面进行了详细的介绍。 一、实验目的: 了解什么是 XSS;了解 XSS 攻击实施,理解防御 XSS 攻击的方法;了解 SQL 注入的基本...
软件安全测试-Web安全测试详解-XSS攻击
白天像蚂蚁一样工作,晚上像蝴蝶一样生活
12-10 2052
通过该文,可以系统了解xss攻击的原理,测试,防御,无论对手工测试,还是自动化测试都可以很好的根据文章执行。
【web应用安全攻防技术】02 SQL注入 & XSS注入
m0_57432233的博客
01-31 1765
SQL注入攻击是利用Web应用程序数据层存在的输入验证不完善型安全漏洞实施的一类代码注入攻击技术跨站脚本是一种通常存在于Web应用程序中的安全漏洞,使得攻击者可以将恶意的代码注入到网页中,从而危害其他Web访问者(敏感信息、客户端渗透攻击等)客户端脚本:Javascript,Flash ActionScript等。
网络安全——SQL注入实验
网络工程
12-12 2271
1、掌握SQL注入的原理。2、通过开源网站渗透平台DVWA实战,掌握常见的SQL注入方法。3、具体内容:1)学习配置开源网站渗透平台DVWA(Damn Vulnerable Web Application)。2)学习常见的SQL语句:create、select、drop、union等。3)学习相关SQL注入方法并在实验平台验证。
XSS基础
qq_57157540的博客
04-25 3321
a.XSSSQL注入攻击中的攻击指令都是由黑客通过用户输入域注入,只不过XSS注入的是HTML代码(以后称脚本),而SQL注入注入的是SQL命令。 b.XSSSQL注入攻击都利用了Web服务器没有对用户输入数据进行严格的检查和有效过滤的缺陷 。 c.SQL注入SQL命令在用户浏览器中执行,而XSS跨站的脚本在Web后台数据库中执行。 d.XSS攻击盗取Web终端用户的敏感数据,甚至控制用户终端操作;SQL注入攻击盗取Web后台数据库中的敏感数据,甚至控制整个数据库服务器
XSS(Cross-site Script,跨站脚本)漏洞笔记
qq_32812063的博客
11-22 1540
xss笔记
XSSSQL的简单介绍
qq_53188113的博客
12-23 897
XSS 1、什么是XSS XSS又叫CSS (Cross Site Script) 也称为跨站,它是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。 2、什么是XSS攻击 XSS攻击是指入侵者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行,由于HTML语言允许使用脚本进行简单交互,入..
Server2003某网站sql注入
m0_70489261的博客
02-28 253
SQL之简要的SQL注入
java web 实验图书信息管理系统的实验目的
06-09
Java Web 实验的图书信息管理系统的实验目的包括以下几点: 1. 学习和掌握 Java Web 开发的基本知识和技术,例如 Servlet、JSP、JDBC 等。 2. 熟悉数据库的基本操作,学习如何使用 JDBC 连接数据库,并进行增删改查等操作。 3. 实践 MVC 设计模式,将系统分为模型、视图、控制器三层,提高代码的可维护性和可扩展性。 4. 实现一个基本的图书信息管理系统,包括对图书信息的录入、查询、修改和删除等功能,加深对 Web 应用的理解和实际操作能力。 5. 了解 Web 应用的安全性,学习如何防止 SQL 注入攻击、XSS 攻击等 Web 安全问题。 通过完成这个实验,可以提高学生对 Java Web 开发技术的掌握程度,加深对 Web 应用的理解和实践能力,为将来的 Web 开发工作打下基础。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值