20165214 2018-2019-2 《网络对抗技术》Exp8 Web基础 Week11—12

《网络对抗技术》Exp8 Web基础 Week11—12

一、实验目标与内容

  • 1.实践内容

    • (1).Web前端HTML
    • 能正常安装、启停Apache。理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML。
    • (2).Web前端javascipt
    • 理解JavaScript的基本功能,理解DOM。编写JavaScript验证用户名、密码的规则。
    • (3).Web后端:MySQL基础:正常安装、启动MySQL,建库、创建用户、修改密码、建表
    • (4).Web后端:编写PHP网页,连接数据库,进行用户认证
    • (5).最简单的SQL注入,XSS攻击测试
  • 2.功能描述:用户能登陆,登陆用户名密码保存在数据库中,登陆成功显示欢迎页面。
  • 3.一些问题
    • (1)什么是表单
    • 答:表单(form)是一个包含表单元素的区域,表单元素是允许用户在表单中输入信息的元素,表单在网页中主要负责数据采集功能;一个表单有三个基本组成部分:表单标签、表单域、表单按钮。
    • (2)浏览器可以解析运行什么语言
    • 答:HTML、XML、PHP、JavaScript、ASP等。
    • (3)WebServer支持哪些动态语言
    • 答:JavaScript、ASP、PHP等脚本语言。

二、实验步骤

Web前台的搭建

  • 首先了解一下GET和POST两个方法

    • 两个方法都是像后台传参的一种方法。
    • 最直观的区别就是GET把参数包含在URL中,POST通过request body传递参数
    • GET产生一个TCP数据包;POST产生两个TCP数据包(火狐就只有一个)。
    • GET请求参数会被完整保留在浏览器历史记录里,而POST中的参数不会被保留
    • .....................................................................
  • 在命令行输入service apach2 start来启动阿帕奇服务;可以通过在浏览器输入127.0.0.1,如果出现如下页面,说明阿帕奇启动成功。
  • 进入/www/var/html文件夹,输入vi logintest.html创建登录前台的html,输入页面代码:
  • 测试logintest.html当账号或者密码为空时提交表单是否会弹出提示:
  • 进入/www/var文件夹,输入vi registertest.html创建注册前台的html,输入页面代码:
  • 测试registertest.html当账号或者密码为空时提交表单是否会弹出提示:

数据库搭建

  • 输入/etc/init.d/mysql start启动数据库
  • 输入mysql启动数据库
  • 输入show databases;查看目前有哪些数据库;
  • 输入use mysql;,进入mysql数据库;
  • 用户名和密码默认是放在mysql下的user表格的。输入···select user, password from user;```查看登录信息
  • 输入update user set password=PASSWORD("zwy") where user=‘root‘;更新密码
  • 输入create database zwy;创建数据库
  • 输入create table userinfo (user VARCHAR(100),password VARCHAR(100));来创建一个表格,包含字段为user和password;.
  • 输入insert into userinfo values(‘zwy‘,‘5214‘);插入一条信息;
  • 输入select * from userinfo;查看表格;
  • 输入alter table userinfo add primary key (user);设置表格主键(用户名不能重复);
  • 输入grant select,insert,update,delete on zwy.* to [email protected] identified by "5214";创建新用户
  • 再到mysql数据库中的user表格进行查看,发现信息已经添加,口令密文存储。

后台搭建

  • /www/var/html文件夹创建login.php,输入代码:
  • /www/var/html文件夹创建register.php,输入代码:

测试(不小心误删图片,失去了背景)

  • 1、用户名或者密码为空上面已经测试过,这里不再测试;
  • 2、登录测试:输入错误的账号密码
  • 3、登录测试:输入正确的账号密码
  • 4、注册测试:输入存在的账号

  • 5、注册测试:输入不存在的账号

  • 6、注册后的登录测试:

简单的数据库注入

SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。

  • 在登录界面的用户名输入‘ or 1=1#,密码任意输入,点击登录,登录成功:

简单的XSS攻击

跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的phishing攻击而变得广为人知。

  • 在登录界面的用户名输入<img src="bak.jpg" />,密码任意输入,点击登录,弹出图片:

三、遇到的问题

  • 1、设置背景时有一张图片始终无法作为背景
  • 解决方法:跟图片比例有关系。修改图片比例后解决了问题。
  • 2、用浏览器访问php文件时,没有显示页面,而是弹出下载、打开框。
  • 解决方法:首先检查阿帕奇,发现没问题;折腾了几下过后,重启了阿帕奇,解决了问题。

四、心得体会

通过这次实验,简单了解了前端、后台和数据库的搭建,初步尝试了简单的数据库注入还有

原文地址:https://www.cnblogs.com/zhuwenyuan/p/10851943.html

时间: 2024-10-06 08:32:24

20165214 2018-2019-2 《网络对抗技术》Exp8 Web基础 Week11—12的相关文章

2018-2019-2 20165333 网络对抗技术 Exp8 Web基础

一.实践内容 1.Web前端HTML 能正常安装.启停Apache.理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML. 2.Web前端javascipt 理解JavaScript的基本功能,理解DOM.编写JavaScript验证用户名.密码的规则. 3.Web后端:MySQL基础 正常安装.启动MySQL,建库.创建用户.修改密码.建表(0.5分) 4.Web后端:编写PHP网页 连接数据库,进行用户认证(1分) 5.最简单的SQL注入,XSS攻击测试 功能描述:用

20145301赵嘉鑫《网络对抗》Exp8 Web基础

20145301赵嘉鑫<网络对抗>Exp8 Web基础 基础问题回答 什么是表单? 表单是一个包含表单元素的区域,主要负责数据采集部分.表单元素允许用户在表单中输入信息.一个表单有三个基本组成部分:表单标签.表单域.表单按钮: 表单标签:包含处理表单数据所用的URL以及数据提交到服务器的方法: 表单域:包含了文本框.密码框.多行文本框.下拉选择框等等: 表单按钮:包括提交按钮.复位按钮和一般按钮. 浏览器可以解析运行什么语言? 支持HTML(超文本标记语言).XML(可扩展标记语言)以及Pyt

20145331魏澍琛《网络对抗》Exp8 Web基础

20145331魏澍琛<网络对抗>Exp8 Web基础 实践内容: 1.简单的web前端页面(HTML.CSS等) 2.简单的web后台数据处理(PHP) 3.Mysql数据库 4.一个简单的web登陆页面例子 5.SQL注入.XSS攻击 Web前端:HTML基础 1.先将apache的端口号设为80(上节已经设置好了),接着结束掉占用80端口的进程,再启动apache. 2.在/var/www/html目录下创建20145331wsc.html文件,即前端文件. 附:检查第一步是否成功只需在

20145311 王亦徐 《网络对抗技术》 Web基础

20145311 王亦徐 <网络对抗技术> Web基础 实验内容 简单的web前端页面(HTML.CSS等) 简单的web后台数据处理(PHP) Mysql数据库 一个简单的web登陆页面例子 SQL注入.XSS攻击 基础问题回答 (1)什么是表单 表单我觉得主要是用来在网页中采集数据用的,提供了填写数据.选择数据,收集数据并提交给后台的功能,包括很多种表单元素,例如文本框.下拉框.单选复选框等 百度上说一个表单有三个基本组成部分:表单标签(form).表单域(填写数据).表单按钮(提交) (

20145211 《网络对抗》Exp8 Web基础

20145211 <网络对抗>Exp8 Web基础 本实践的具体要求有: (1).Web前端HTML(1分) 能正常安装.启停Apache.理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML. (2).Web前端javascipt(1分) 理解JavaScript的基本功能,理解DOM.编写JavaScript验证用户名.密码的规则. (3).Web后端:MySQL基础:正常安装.启动MySQL,建库.创建用户.修改密码.建表(1分) (4).Web后端:编写PHP网

20155330 《网络对抗》 Exp8 Web基础

20155330 <网络对抗> Exp8 Web基础 实验问题回答 什么是表单 表单可以收集用户的信息和反馈意见,是网站管理者与浏览者之间沟通的桥梁. 一个表单有三个基本组成部分 表单标签 表单域:包含了文本框.密码框.隐藏域.多行文本框.复选框.单选框.下拉选择框和文件上传框等 表单按钮:包括提交按钮.复位按钮和一般按钮. 浏览器可以解析运行什么语言 超文本标记语言:HTML 可扩展标记语言:XML 脚本语言:ASP.PHP.Script.JavaScript.VBScript.Perl.P

20155304《网络对抗》Exp8 Web基础

20155304<网络对抗>Exp8 Web基础 实践要求 (1).Web前端HTML 能正常安装.启停Apache.理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML. (2).Web前端javascipt 理解JavaScript的基本功能,理解DOM.编写JavaScript验证用户名.密码的规则. (3).Web后端:MySQL基础:正常安装.启动MySQL,建库.创建用户.修改密码.建表 (4).Web后端:编写PHP网页,连接数据库,进行用户认证 (5).

2018~2019-10 20165107 网络对抗技术 Exp9 Web安全基础

20165107 网络对抗技术 Exp9 Web安全基础 实验要求 本实践的目标理解常用网络攻击技术的基本原理,做不少于7个题目,包括(SQL,XSS,CSRF) Webgoat实践下相关实验. 基础问题问答 1.SQL注入攻击原理,如何防御 SQL注入攻击原理:是指通过构建特殊的输入作为参数传入Web应用程序,输入执行SQL语句进而执行攻击者所要的操作.如在用户名.密码登输入框中输入一些',--,#等特殊字符,实现引号闭合.注释部分SQL语句,利用永真式实现登录.显示信息等目的. 如何防御:

20145235李涛《网络对抗》Exp8 Web基础

基础问答 什么是表单 可以收集用户的信息和反馈意见,是网站管理者与浏览者之间沟通的桥梁. 表单包括两个部分:一部分是HTML源代码用于描述表单(例如,域,标签和用户在页面上看见的按钮),另一部分是脚本或应用程序用于处理提交的信息(如CGI脚本).不使用处理脚本就不能搜集表单数据. 表单通常是交由CGI(公共网关接口)脚本处理.CGI是一种在服务器和处理脚本之间传送信息的标准化方式.CGI脚本比较典型的是使用Perl语言编写,当然也有其他语言如C++,Java,VBScript或JavaScrip