20145230熊佳炜《网络对抗》实验八：WEB基础

20145230熊佳炜《网络对抗》实验八：WEB基础

实验目标

• Web前端HTML：能正常安装、启停Apache。理解HTML，理解表单，理解GET与POST方法,编写一个含有表单的HTML。
• Web前端javascipt：理解JavaScript的基本功能，理解DOM。编写JavaScript验证用户名、密码的规则。
• Web后端：MySQL基础：正常安装、启动MySQL，建库、创建用户、修改密码、建表
• Web后端：编写PHP网页，连接数据库，进行用户认证

• 最简单的SQL注入，XSS攻击测试

• 功能描述：用户能登陆，登陆用户名密码保存在数据库中，登陆成功显示欢迎页面。

Apache

• 首先，我们需要开启apache，因为上一次实验时用的是80端口，所以我们这次要在配置时将80端口改一下，我这里改的是8080。
  

• 开启apache2服务后可以查看一下我们的端口占用情况。
  

• 可以登录我们kali的IP地址加8080端口号看是否能进入上一次我们实验设定的那个网站的主页。如果可以起进入，则说明apache开启正常。
  

web前端

• 我们需要进入apache的工作目录，创建一个名字叫20145230的html文件。

• 由于我们需要表单提交我们的信息，就要编写一个含有表单的简单html网页。
  

• 编写好之后用火狐浏览器访问一下我们的网页，一开始出现的是乱码，原因是我们没有设置我们的编码格式，后面设置为UTF-8之后就能正常显示了。
  

javascript

• javascript是一种脚本语言的类型，可以写在我们刚才编写好的web前端里面。

PHP

• PHP是超文本预处理器，它是一种通用开源脚本语言，主要适用于Web开发领域。
• 我们可以在html目录下新建一个php测试，测试完后可以从火狐上看到相应测试结果。
  

MySQL

• 首先，我们需要哎kali中开启sql服务。
  

• 输入密码后可以进入我们的mysql，据说是可以修改密码的，但我觉得没有那个必要。

• 用show databases可以查看里面的数据库信息。
  

• 用show tables可以查看我们数据库中的数据表的信息。
  

• 可以用create database创建我们的数据库，用create table来创建我们的数据表，用insert命令可以往我们的表中填写我们的一些用户名和密码信息。
  

web后端

• 我们需要进入html文件夹中建立登陆界面的html，然后对其进行编写。
  

• 我们还需要建立一个登陆界面的php，也对其进行编写，需要注意的是，我一开始连接时不成功的，原因就是IP地址那我用的是kali地址，而实际上我们大家都要用127.0.0.1。

• 修改好了之后，用浏览器登陆我们的欢迎界面，输入我们数据库中的用户名和密码，发现登陆成功。
  

SQL注入

• SQL注入是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。
• SQL注入可以直接在我们建好的登陆网页上面注入，在用户名那一块儿输入' or 1=1#，密码随便输入什么，发现我们还是可以登陆成功。原因是1=1是永真式，无论我们输入什么它都会判定登陆成功。
  

• SQL注入还可以通过修改我们数据库表中的user用户名和密码信息来注入，比如我们添加一个用户之后，用它的用户ID去登陆网页，发现同样可以成功。
  

XSS攻击

• XSS表示跨站脚本攻击，通过插入恶意脚本，实现对用户游览器的控制。

• 一开始需要在kali中选一张图片，然后将它拉到我们的html文件夹中。
  

• 在我们登录网页用户名那输入图片的信息，点击登陆后便可以看到我们刚才选的那张图片信息了。
  

发帖和会话管理

• 首先在火狐中输入login.php进入我们的登陆界面，然后输入我们的账号和密码即可登陆。
  

• 点击start a new post即可发帖。
  

• 发帖后我们如果要check历史消息，需要在kali中给予我们data.txt这个文件一定的权限，给定了权限之后浏览器中才能显示出我们的内容。
  

感受

• 本次实验涉及到网络编程的一些知识，自己学得不是很扎实，所以做得很慢很艰难，很多东西都是借助别人的代码来做的，大概明白了网络编程中数据库、web前端关系，三者之间缺一不可，前端是显示的画面，数据库负责储存用户信息。还知道了PHP语言功能的强大以及实现的方便性。希望在以后实验中能把学过的东西捡起来，不要学一样忘一样。

基础问答

（1）什么是表单。

答：表单就是负责数据采集功能的控件，它可以收集用户的信息和反馈意见。表单基本上由表单域、表单按钮、复选框、单选框组成。

（2）浏览器可以解析运行什么语言。

答：可以运行HTML语言，可以运行JavaScript语言，可以运行Python语言，PHP语言等。

（3）WebServer支持哪些动态语言。

答：可以支持PHP语言和JSP语言。