20145306 网路攻防 web安全基础实践

时间:2022-12-24 22:53:24

20145306 网络攻防 web安全基础实践

实验内容

  • 使用webgoat进行XSS攻击、CSRF攻击、SQL注入
  • XSS攻击:Stored XSS Attacks、Reflected XSS Attacks
  • CSRF攻击:Cross SSite Request Forgery(CSRF)、CSRF Prompt By-Pass
  • SQL注入攻击:Numeric SQL Injection、Log Spoofing、String SQL Injection、Database Backdoors step1、Database Backdoors step2、Blind Numeric SQL Injection

实验过程

webgoat


  • 20145306 网路攻防  web安全基础实践

xss攻击


  • 1.stored xss attacks

    • 20145306 网路攻防  web安全基础实践
  • 2.reflectd xss attacks

    同样是在输入框中输入代码,之后点击提交攻击。

    • 20145306 网路攻防  web安全基础实践
  • 4.Cross Site Request Forgery 攻击

    • 跨站请求伪造攻击。攻击者盗用身份,发送恶意请求。 要完成一次CSRF攻击,受害者必须依次完成两个步骤:1.登录受信任的网站A,并在本地生成Cookie;2.不退出登录的情况下,网文危险网站B。
    • 20145306 网路攻防  web安全基础实践
    • 20145306 网路攻防  web安全基础实践
  • 5.CSRF Prompt By-Pass攻击

    • 与上一个实验相似,发送恶意请求。将参数写入title。
    • 20145306 网路攻防  web安全基础实践

SQL注入攻击


  • Numeric SQL Injection

    • 通过sql注入取得所有天气信息。
    • 使用Burpsuite代理,对网页传送的内容编辑之后发送给服务器。
    • 设置浏览器,与burpsuite:
      • 20145306 网路攻防  web安全基础实践
  • String SQL Injection

    • 和上一个实验类似,通过sql注入实现获得所有数据。
    • 构造一个永真试’ or 1=1 ;
    • 20145306 网路攻防  web安全基础实践
    • 20145306 网路攻防  web安全基础实践
  • Database Backdoors

    • 实现多条sql语句的注入。
    • 20145306 网路攻防  web安全基础实践
    • 20145306 网路攻防  web安全基础实践
  • databases Backdoors 2

    • 实现使用SQL语句实现在myBackDoor表中一旦添加新用户,那么户表里新用户的邮箱改为题目固定的邮箱。
    • 20145306 网路攻防  web安全基础实践
  • log spoofing

    • 通过在输入用户名框回车 换行等字符,出现登录成功的假象。
    • 20145306 网路攻防  web安全基础实践
  • Blind Numeric SQL Injection

    • 该实验的目的是要找cc_number为1111222233334444的pin大小。
    • 在number框中输入101 AND ((SELECT pin FROM pins WHERE cc_number='1111222233334444') > 5000 );看值是否大于5000;
    • 20145306 网路攻防  web安全基础实践
    • 依次尝试,锁定一个范围2250-2375;
    • burpsuite设置好代理 抓包然后暴力破解。
    • 20145306 网路攻防  web安全基础实践20145306 网路攻防  web安全基础实践
      • 问题回答


        • SQL注入攻击原理,防御
          • 原理:SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 根据相关技术原理,SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致;后者主要是由于程序员对输入未进行细致地过滤,从而执行了非法的数据查询。
          • 防御:通过正则表达式来操作,对用户输入矫验;不把机密信息明文存放,加密敏感信息。
        • XSS攻击的原理,防御
          • 原理:XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。这些代码包括HTML代码和客户端脚本。这种类型的漏洞由于被骇客用来编写危害性更大的phishing攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。
          • 防御:对“javascript”这个关键字进行检索,一旦发现提交信息中包含“javascript”,就认定为XSS攻击
        • CSRF攻击原理,防御

20145306 网路攻防 web安全基础实践的更多相关文章

  1. 20145335郝昊《网络攻防》Exp9 Web安全基础实践

    20145335郝昊<网络攻防>Exp9 Web安全基础实践 实验内容 理解常用网络攻击技术的基本原理. 完成WebGoat实践下相关实验 实验步骤 XSS注入攻击 Phishing wi ...

  2. 《网络攻防》Web安全基础实践

    20145224陈颢文 <网络攻防>Web安全基础实践 基础问题回答 SQL注入攻击原理,如何防御: 部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,黑客利用这个bug在数 ...

  3. 20145326蔡馨熤《网络对抗》—— Web安全基础实践

    20145326蔡馨熤<网络对抗>—— Web安全基础实践 1.实验后回答问题 (1)SQL注入攻击原理,如何防御. 原理: SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程 ...

  4. 20155202《网络对抗》Exp9 web安全基础实践

    20155202<网络对抗>Exp9 web安全基础实践 实验前回答问题 (1)SQL注入攻击原理,如何防御 SQL注入产生的原因,和栈溢出.XSS等很多其他的攻击方法类似,就是未经检查或 ...

  5. 20155210 Exp9 Web安全基础实践

    Exp9 Web安全基础实践 实验过程 开启webgoat 输入java -jar webgoat-container-7.1-exec.jar,来运行webgoat 在浏览器输入localhost: ...

  6. 20155220 Exp9 Web安全基础实践

    Exp9 Web安全基础实践 实验过程 开启webgoat 输入java -jar webgoat-container-7.1-exec.jar,来运行webgoat 在浏览器输入localhost: ...

  7. 20155304 《网络对抗》Exp9 web安全基础实践

    20155304 <网络对抗>Exp9 web安全基础实践 实验后回答问题 (1)SQL注入攻击原理,如何防御 攻击原理:web应用程序对用户输入数据的合法性没有判断,攻击者可以在web应 ...

  8. 20155306白皎 《网络对抗》 Exp9 Web安全基础实践

    20155306白皎 <网络对抗> Exp9 Web安全基础实践 一.基本问题回答 SQL注入攻击原理,如何防御 原理是: 就是通过把SQL命令插入到"Web表单递交" ...

  9. 20145336 张子扬 《网络对抗技术》 web安全基础实践

    2014536 张子扬<网络攻防>Exp9 Web安全基础实践 实验准备 开启webgoat 1)开启webgoat,打开WebGoat: java -jar webgoat-contai ...

随机推荐

  1. VUE---Missing space before function parentheses

    解决方法:

  2. script引入js文件问题

  3. JQ的基本架构

    Jquery的基本架构   引入  以前学习原生JS然后切换到用JQ的时候总觉得很不习惯,甚至有点排斥用JQ.后来自己写项目一直到公司实习用JQ的这段时间,才深深感受到JQ的强大~JQ不仅做到兼容很多 ...

  4. java web项目获取各种路径

    1.可以在servlet的init方法里 String path = getServletContext().getRealPath("/"); 这将获取web项目的全路径 例如 ...

  5. TextView使用SpannableString设置复合文本

    TextView通常用来显示普通文本,但是有时候需要对其中某些文本进行样式.事件方面的设置.Android系统通过SpannableString类来对指定文本进行相关处理,具体有以下功能: 1.Bac ...

  6. Unity3d与android通信

    原地址:http://www.cnblogs.com/alongu3d/p/3661077.html unity3d与android的通信,从网上搜索了一些文章,发现我的始终不成功!后来调试通了,现在 ...

  7. vue基础4-数据绑定

    1.v-bind 只能实现数据额单向绑定,从M到V,无法实现数据的双向绑定 改变页面输入框的值,打印数据并未改变. 2.v-model 可以实现数据的双向绑定,从M到V.V到M.  注意:v-mode ...

  8. &lbrack;Kafka&rsqb; &lbrack;All about it&rsqb;

    Overview 设计目标: 以O(1) 常数级时间复杂度的访问性能,提供消息持久化能力. 高吞吐率. 支持 kafka server 间的消息分区,及分布式消费,同时保证每个partition内部的 ...

  9. 1&period; Dubbo原理解析-Dubbo内核实现之SPI简单介绍 (转)

    转载自  斩秋的专栏  http://blog.csdn.net/quhongwei_zhanqiu/article/details/41577159 Dubbo采用 微内核 + 插件体系,使得设计优 ...

  10. JavaWeb总结(国税)

    一.JavaWeb示例 1.1.Servlet Hello World&IDEA创建第一个Servlet 新建项目 选择maven 组织名与项目名 位置,完成 允许自动导入包 添加框架支持,变 ...