20145216史婧瑶《网络对抗》Web基础

实验问题回答

（1）什么是表单

表单在网页中主要负责数据采集功能。一个表单有三个基本组成部分：表单标签、表单域、表单按钮。

（2）浏览器可以解析运行什么语言

支持HTML、XML、PHP、Javascript等脚本语言。

（3）WebServer支持哪些动态语言

JavaScript、ASP、PHP、Ruby等脚本语言。

实验总结与体会

这次实验让我重温了上学期的网络安全编程基础，编写代码简直花了我百分之八十的精力，主要是在编写代码的过程中出现了一些问题，然后我就一遍一遍的调试，眼睛都看花了，不过这次实验学到的东西还是很多，比如对Web前端后端代码的编写、数据库的连接以及SQL注入、XSS攻击测试都有所掌握，所以，要始终相信付出总会有回报的。

实践过程记录

Web前端HTML

1.输入指令apachectl start 开启apache服务，使用netstat -aptn 查看端口占用,发现被进程602占用，使用命令sudo vi /etc/apache2/ports.conf 将配置文件中默认监听端口改为8080。（后面实验我又改为了5216）

2.再次打开Apacheservice apache2 restart ，登录localhost：8080可以看见上次生成的钓鱼网站

3.在虚拟机/var/www/html 文件夹下新建一个含有表单的html，在这里编写登录页面的代码

4.由于没有编写html_form_action.php，输入用户名密码，显示404

Web前端javascipt

1.使用javascript编写一段验证用户名及密码的规则，在这里设定的是用户名和密码不能为空

2.打开浏览器登录页面验证一下，当输入的用户名或密码为空时会弹出窗口

Web后端：MySQL基础

1.输入/etc/init.d/mysql start 开启mysql服务

2.输入mysql -u root -p ，并输入密码p@ssw0rd 进入mysql

3.修改密码：输入use mysql; ，选择mysql数据库；输入update user set password=PASSWORD("新密码") where user='root'; ，修改密码；输入flush privileges; ，更新权限

4.接着输入quit退出mysql，重新进入，使用新密码登录成功，说明修改成功

5.输入create database 库名; 建立一个数据库；输入show databases; 查看存在的数据库；输入use 库名; 使用我们创建的数据库

6.在mysql中建立库表，并向新建立的表中添加用户

Web后端：编写PHP网页

1.在/var/www/html 目录下新建一个php测试文件

2.在浏览器中打开localhost:5216/test.php ，可以看到如下界面

3.简单测试完成后，我们可以利用php和mysql结合之前编的登录网页进行简单的用户身份认证，这里可以参考老师给的代码编写login.php，代码如下所示：

4.现状可以在浏览器中访问自己的登陆页面，如果输入的用户名和密码与数据库中存有的用户名和密码相一致，则登录成功，否则登录失败

SQL注入

1.使用永真式进行注入。因为1恒等于1，所以条件恒成立，注入成功

2.通过sql注入将用户名和密码保存到数据库

用注入的用户名和密码进行登录显示登陆成功

XSS攻击测试

在登录的用户名中输入：<img src="20145216.jpg" />20145216</a> 即可读取/var/www/html文件夹下的图片