2018-2019-2 网络对抗技术 20165322 Exp9 Web安全基础 目录 实验内容与步骤 (一)Webgoat安装 (二)SQL注入攻击 1.命令注入(Command Injection) 2.字符串型输入(Command Injection) 3.日志欺骗(Log Spoofing) (三)XSS攻击 1.跨站脚本钓鱼攻击(Phishing with XSS) 2.存储型XSS攻击(Stored XSS Attacks) 3.反射型XSS攻击(Reflected XSS Atta…

2017-2018-2 20155314<网络对抗技术>Exp9 Web安全基础 目录 实验目标 实验内容 实验环境 基础问题回答 预备知识 实验步骤--WebGoat实践 0x10 WebGoat基础配置 0x20 Injection Flaws:注入缺陷攻击实践 0x21 Command Injection:命令注入 0x22 Numeric SQL Injection:数字型 SQL 注入 0x23 Log Spoofing:日志欺骗 0x24 String SQL Injection:…

<网络对抗技术>Exp9 Web安全基础 Week13 一.实验目标与内容 1.实践内容 (1).本实践的目标理解常用网络攻击技术的基本原理,做不少于7个题目.包括(SQL,XSS,CSRF).Webgoat实践下相关实验. 2.一些问题 (1)SQL注入攻击原理,如何防御 答:SQL注入漏洞是指在Web应用对后台数据库查询语句处理存在的安全漏洞.也就是,在输入字符串中嵌入SQL指令,在设计程序中忽略对可能构成攻击的特殊字符串的检查.后台数据库将其认作正常SQL指令后正常执行,可能实现对后台数…

2018-2019-2 20165315<网络对抗技术>Exp9 Web安全基础 目录 一.实验内容 二.实验步骤 1.Webgoat前期准备 2.SQL注入攻击 Command Injection Numeric SQL Injection Log Spoofing String SQL Injection LAB:SQL Injection Database Backdoors 3.XSS攻击 Phishing with XSS 4.CSRF攻击 三.实验中遇到的问题 四.实验总结 1.实…

2018-2019-2 20165212<网络对抗技术>Exp9 Web安全基础 基础问题回答 1.SQL注入攻击原理,如何防御? 原理:SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令. sql注入攻击是利用是指利用设计上的漏洞,在目标服务器上运行Sql语句以及进行其他方式的攻击,动态生成Sql语句时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因.如:在用户名.密码登输入框中输入一些',--,#等特殊字符…

2018-2019-2 20165312<网络对抗技术>Exp9 Web安全基础 目录 Exp9_1安装Webgoat Exp9_2 SQL注入攻击 Numeric SQL Injection Log Spoofing String SQL Injection Stage 1:String SQL Injection Exp9_3 XSS攻击 Phishing with XSS Stored XSS Attacks Exp9_4 CSRF攻击 Cross Site Request Forger…

2018-2019-2 20165210<网络对抗技术>Exp9 Web安全基础 实验目的 本实践的目标理解常用网络攻击技术的基本原理. 实验内容 安装Webgoat SQL注入攻击 - Numeric SQL Injection - Log Spoofing - String SQL Injection - LAB: SQL Injection XSS攻击 - Phishing with XSS - Stored XSS Attacks CSRF攻击 - Cross Site Request…

2018-2019 2 20165203 <网络对抗技术>Exp9 Web安全基础 实验要求 本实践的目标理解常用网络攻击技术的基本原理,做不少于7个题目,共3.5分.包括(SQL,XSS,CSRF).Webgoat实践下相关实验. 基础知识问答 (1)SQL注入攻击原理,如何防御 SQL注入的原理:就是通过构建特殊的参数传入web应用程序,而这些输入大多都是SQL语句语法里的组合,通过这些组合构造出某些特殊的含义,从而达到攻击者的攻击目的,例如在用户名和密码框中输入某些像''.--,#等特殊…

Exp9 Web安全基础 目录 一.实验内容 二.基础问题回答 (1)SQL注入攻击原理,如何防御 (2)XSS攻击的原理,如何防御 (3)CSRF攻击原理,如何防御 三.实践过程记录 3.1 注入缺陷Injection Flaws (1)命令注入(Command Injection) (2)数字型SQL注入(Numeric SQL Injection) (3)日志欺骗(Log Spoofing) (4)字符串型注入(String SQL Injection) (5)LAB: SQL Injec…

Exp9 Web安全基础 目录 一.基础问题 二.实验步骤 实验前准备:jdk与webgoat的安装 实验点一:SQL 命令注入(Command Injection) 数字型注入(Numeric SQL Injection) 日志欺骗(Log Spoofing) LAB: SQL Injection 之 Stage 1: 字符串型注入(Stage 1: String SQL Injection) LAB: SQL Injection 之 Stage 3: 数字型 SQL 注入(Stage 3:…

Exp9 Web安全基础 一. 实践内容 1. 安装JDK.Webgoat 2. SQL注入攻击 数字型注入(Numeric SQL Injection) 日志欺骗(Log Spoofing) 字符串注入(String SQL Injection) LAB: SQL Injection 之 Stage 1: 字符串型注入(Stage 1: String SQL Injection) 3. XSS攻击 使用 XSS 钓鱼(Phishing with XSS) 存储型XSS攻击(Stored XSS…

实验内容 本实践的目标理解常用网络攻击技术的基本原理,做不少于7个题目,共3.5分.包括(SQL,XSS,CSRF).Webgoat实践下相关实验. 实验过程 WebGoat: Webgoat是OWASP组织研究出的一个专门进行web漏洞实验的应用品台,这个平台里包含了web中常见的各种漏洞,例如:跨站脚本攻击.sql注入.访问控制.隐藏字段.Cookie等: 首先下载WebGoat wget https://github.com/WebGoat/WebGoat/releases/downloa…

博客目录 一.实践内容 跨站脚本攻击XSS 跨站请求伪造CSRF SQL注入攻击 二.实验中遇到的问题及解决 三.基础问题回答 四.实验总结 一.实践内容 本实践的目标理解常用网络攻击技术的基本原理.Webgoat实践下相关实验. 具体过程: 跨站脚本攻击XSS 跨站请求伪造CSRF SQL注入攻击 跨站脚本攻击XSS 使用XSS钓鱼(Phishing with XSS) 使用XSS和HTML插入,将html插入到请求凭证中,添加JavaScript实际收集凭据,将请求凭证发布到http://l…

目录 基础问题 实验目的 实验内容 实验步骤 实验总结与体会 实验目的 本实践的目标理解常用网络攻击技术的基本原理. 返回目录 实验内容 WebGoat准备工作 SQL注入攻击 命令注入(Command Injection) 数字型SQL注入(Numeric SQL Injection) 日志欺骗(Log Spoofing) 字符串型注入(String SQL Injection) LAB: SQL Injection 数据库后门(Database Backdoors) 数字型盲注入(Blind…

实验后回答问题 1.SQL注入攻击原理,如何防御 ·SQL攻击的原理很简单,就是在用户名输入框里输入SQL语句,来欺骗数据库服务器进行恶意操作 ·防御可以从以下几个方面下手: (1)在web网页设计的时候禁止用户输入的内容写入后台执行程序 (2)设置过滤条件,将可疑的语句过滤掉 2.XSS攻击的原理,如何防御 ·XSS攻击的原理主要是通过输入可执行代码来获取目标网站的cookie,从而实现用其他人的身份登录,并进行攻击 ·关于XSS的防御也可以设置过滤语句,对于代码.可执行语句等一律过滤掉 3.…

1.实践过程记录 1.字符串型注入. 2.整数型注入 3.注入语句查看其他内容 4.xss是一种漏洞,这种漏洞允许用户输入脚本并且浏览器提交的时候不加编码.这种东西是最为流行并且有害的web应用的问题.web应用上有一些“特权功能”是通过JavaScript来连接的,如果这种跳转机制没有被正确地保护起来,用户很容易被人通过xss盗走cookie里面的认证信息.所以这道题就是开一个新标签页然后按照他说的在URL里面添加JavaScript脚本,体会一下xss. 5.利用alert函数或者conso…

2018-2019-2 网络对抗技术 20165322 Exp8 Web基础 目录 实验原理 实验内容与步骤 Web前端HTML Web前端javascipt Web后端:MySQL基础:正常安装.启动MySQL,建库.创建用户.修改密码.建表 Web后端:编写PHP网页,连接数据库,进行用户认证 最简单的SQL注入,XSS攻击测试 实验过程中遇到的问题 基础问题回答 实验总结与体会 实验原理 什么是FORM(表单) 表单相当于一个数据容器,提交表单的同时会将容器中的所有数据提交给后台处理 表单…

2017-2018-2 20155314<网络对抗技术>Exp8 Web基础 目录 实验内容 实验环境 基础问题回答 预备知识 实验步骤 1 macOS下Apache的配置 2 macOS下PHP的配置 2.1 开启PHP 2.2 修改Apache目录 2.3 PHP简单编程 3 macOS下MySQL的安装与配置 3.1 安装 3.2 查看MySQL服务是否开启 3.3 配置环境变量 3.4 基本操作 4 phpMyAdmin for mac:让MySQL可视化 5 基于Eclipse+To…

2017-2018-2 『网络对抗技术』Exp9:Web安全基础 --------CONTENTS-------- 一.基础问题回答 1.SQL注入攻击原理,如何防御? 2.XSS攻击的原理,如何防御? 3.CSRF攻击原理,如何防御? 二.实践过程记录 1.General ①Http Basics 2.Code Quality ①Discover Clues in the HTML 3.Cross-Site Scripting(XSS) ①Phishing with XSS ②Stored X…

2017-2018-2 20155319<网络对抗技术>Exp9 :Web安全基础 实践过程 webgoat准备 从GitHub上下载jar包(老师的虚拟机中有 无需下载) 拷贝到本地,并使用命令java -jar webgoat-container-7.0.1-war-exec.jar运行Webgoat,出现INFO: Starting ProtocolHandler ["http-bio-8080"]则开启成功,可以看到占用8080端口. 打开浏览器输入127.0.0.…

2018-2019-2 网络对抗技术 20165322 Exp6 信息搜集与漏洞扫描 目录 实验原理 实验内容与步骤 各种搜索技巧的应用 DNS IP注册信息的查询 基本的扫描技术 漏洞扫描 基础问题回答 实验总结与体会 实验原理 间接收集 无物理连接,不访问目标,使用第三方信息源(数据库之类) 通常使用whois/DNS获取ip 使用辅助模块进行信息收集,具体指令可以在auxiliary/gather中进行查询 利用搜索引擎进行在线查询 直接收集 建立逻辑连接并获取信息 通过msf.nmap可…

2018-2019-2 网络对抗技术 20165322 Exp5 MSF基础应用 目录 实验内容与步骤 一个主动攻击实践 MS08-067(失败) ms17_010_psexec(成功且唯一) 一个针对浏览器的攻击 ms10_046_shortcut_icon_dllloader 一个针对客户端的攻击 windows/fileformat/adobe_cooltype_sing 成功应用任何一个辅助模块 auxiliary/scanner/portscan/tcp 在实验一里用了auxiliar…

2018-2019-2 网络对抗技术 20165322 Exp4 恶意代码分析 目录 实验内容与步骤 系统运行监控 恶意软件分析 实验过程中遇到的问题 基础问题回答 实验总结与体会 实验内容与步骤 系统运行监控 (一)使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里.运行一段时间并分析该文件,综述一下分析结果.目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不.如果想进一步分析的,可以有针对性的抓包. 在windows命…

2018-2019-2 网络对抗技术 20165322 Exp3 免杀原理与实践 目录 实验内容与步骤 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-evasion,加壳工具,使用shellcode编程 通过组合应用各种技术实现恶意代码免杀 用另一电脑实测,在杀软开启的情况下,可运行并回连成功,注明电脑的杀软名称与版本 实验过程中遇到的问题 基础问题回答 实验总结与体会 实验内容与步骤 正确使用msf编码器,msfvenom生成如jar之类的其他文件,veil-ev…

2018-2019-2 网络对抗技术 20165322 Exp2 后门原理与实践 目录 实验准备 后门概念 常用后门工具 实验内容与步骤 使用netcat获取主机操作Shell,cron启动 使用socat获取主机操作Shell, 任务计划启动 使用MSF meterpreter(或其他软件)生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell 使用MSF meterpreter(或其他软件)生成获取目标主机音频.摄像头.击键记录等内容,并尝试提权 实验遇到的问题与解决 基…

2018-2019-2 网络对抗技术 20165322 Exp1 PC平台逆向破解 目录 知识点总结 实验准备 任务一:直接修改程序机器指令,改变程序执行流程 任务二 通过构造输入参数,造成BOF攻击,改变程序执行流 任务三:注入Shellcode并执行 实验感想与理解 实验准备 由于kali镜像的原因,系统没有32位的运行库,pwn1文件没法运行,所以我们需要做一些准备工作. 下载阿里云与中科院的更新源 和安装教程里的相同,输入指令leafpad /etc/apt/sources.list打开…

2018-2019-2 网络对抗技术 20165322 Exp7 网络欺诈防范 目录 实验原理 实验内容与步骤 简单应用SET工具建立冒名网站 ettercap DNS spoof 结合应用两种技术,用DNS spoof引导特定访问到冒名网站. 实验过程中遇到的问题 基础问题回答 实验总结与体会 实验原理 DNS欺骗 原理:首先欺骗者向目标机器发送构造好的ARP应答数据包,ARP欺骗成功后,嗅探到对方发出的DNS请求数据包,分析数据包取得ID和端口号后,向目标发送自己构造好的一个DNS返回包,对…

2018-2019-2 20165209 <网络对抗技术>Exp9: Web安全基础 1 基础问题回答和实验内容 1.1基础问题回答 (1)SQL注入攻击原理,如何防御? 原理:SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,使非法数据侵入系统. 防御: 对用户的输入进行校验. 不要使用动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取. 不要使用管理员权限的数据库连接…

2018-2019-2 20165333 <网络对抗技术> Exp5:MSF基础应用 实践内容(3.5分) 本实践目标是掌握metasploit的基本应用方式,重点常用的三种攻击方式的思路.具体需要完成: 1.1一个主动攻击实践,如ms08_067; (1分) 1.2 一个针对浏览器的攻击,如ms11_050:(1分) 1.3 一个针对客户端的攻击,如Adobe:(1分) 1.4 成功应用任何一个辅助模块.(0.5分) 原理与实践说明 1.实践原理 1.MSF攻击方法 主动攻击:扫描主机漏洞,…

2018-2019-2 20165325 <网络对抗技术> Exp5:MSF基础应用 实验内容(概要) 1.1 一个主动攻击实践,本实验选择 ms17_010_eternalblue(成功); 1.2 一个针对浏览器的攻击,本实验选择ie_cbutton_uaf(成功).ie_setmousecapture_uaf(成功唯一): 1.3 一个针对客户端的攻击,本实验选择Adobe_toolbutton(成功): 1.4 成功应用任何一个辅助模块,本实验选择browser autopwn(成功)…