20145211 《网络对抗》Exp8 Web基础
20145211 《网络对抗》Exp8 Web基础
本实践的具体要求有:
(1).Web前端HTML(1分)
- 能正常安装、启停Apache。理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML。
(2).Web前端javascipt(1分)
- 理解JavaScript的基本功能,理解DOM。编写JavaScript验证用户名、密码的规则。
(3).Web后端:MySQL基础:正常安装、启动MySQL,建库、创建用户、修改密码、建表(1分)
(4).Web后端:编写PHP网页,连接数据库,进行用户认证(1分)
(5).最简单的SQL注入,XSS攻击测试(1分)
- 功能描述:用户能登陆,登陆用户名密码保存在数据库中,登陆成功显示欢迎页面。
实验后回答问题
(1)什么是表单
- HTML 表单用于搜集不同类型的用户输入。
表单包含表单元素——不同类型的 input 元素、复选框、单选按钮、提交按钮等等。
- 表单有三个基本组成部分:表单标签、表单域、表单按钮;
- 表单标签(
<form>):这里面包含了处理表单数据所用CGI程序的URL以及数据提交到服务器的方法; - 表单域:包含了文本框、密码框、隐藏域、多行文本框、复选框、单选框、下拉选择框和文件上传框等;
- 表单按钮:包括提交按钮、复位按钮和一般按钮,用于将数据传送到服务器上的CGI脚本或者取消输入,还可以用表单按钮来控制其他定义了处理脚本的处理工作。
- 表单标签(
(2)浏览器可以解析运行什么语言?
- 诸如HTML5,XML,PYTHON,PHP,CGI,JSP等。
(3)WebServer支持哪些动态语言
- 有的支持php、asp、net、java、ruby等
实验总结与体会
- 这次主要的尝试是用了PHP脚本语言,之前我们学JAVA web的时候,也写过网页代码,也有前端,后台,数据库,只是我们当时用的是JSP。后来我思考了一下,只有用exclipse启用APACHE服务,本地才能打开jsp页面,后来我想,如果把我们这次做的php换成jsp,在kali里面,应该也是能够运行的。不过这次比较忙,并没有时间尝试……
- 看到sql和xss能够轻易地攻击,这让我不禁想到为什么之前写代码,老师总是让我们不断地进行边界测试,正是当时代码的不完善,才导致后期运行会出现问题,还是小心为上。
实践过程记录
Apache
- 修改
/etc/apache2/ports.conf里的端口为5211,开启apachectl start命令开启Apach,;这样避免了端口占用问题。 - 浏览器中输入
localhost:5211可以正常开启,前期准备完成。
简单的表单网页
- 写一个带有表单功能的login页面,在浏览器中打开
localhost:5211/5211.html,用了css架构,而且这个云是可以左右移动的,此处无法添加视频,只有静态画面。

javascript
- JavaScript是一种广泛用于客户端Web开发的脚本语言,常用来给HTML网页添加动态功能,比如响应用户的各种操作。
- 文档对象模型(Document Object Model,简称DOM,是W3C组织推荐的处理可扩展标志语言的标准编程接口。
- 编写验证用户名和密码的规则:(比如用户名和密码必须由字母或数字组成,不能含有非法字符,且密码长度不能超过10)
<script type="text/javascript">
function check(){
var user=document.getElementById("username").value;
var reg_user=/^[a-zA-Z0-9]{1,10}$/;
var pwd=document.getElementById("password").value;
var reg_pwd=/^[a-zA-Z0-9]{1,10}$/;
if(reg_user.test(user)==false){
alert("username wrong");
return false;
}
else if(reg_pwd.test(pwd)==false){
alert("密码不能含有非法字符,长度在1-10之间");
return false;
}
else
return true;
}
</script>
PHP测试
PHP,是一种通用开源脚本语言,是英文超级文本预处理语言(PHP:Hypertext Preprocessor)的缩写。PHP 是一种 HTML 内嵌式的语言,语言嘛,看起来和谁都像,不过看到正则表达式就头大。
一个简单的php测试代码:
<?php
echo ($_GET["A"]);
include($_GET["A"]);
echo "this is my first php page!<br>";
?>
20145211
- 打开
localhost:5211/login.php:

MySQL
- 之前一直是在windows命令行里操作,这次换到kali里面,并没有什么差别。
- 使用命令
/etc/init.d/mysql start打开mysql服务 - 输入
mysql -u root -p,并根据提示输入密码,默认密码为p@ssw0rd,进入MySQL:
创建新表
- 使用如下两条命令可以建立新表:
CREATE SCHEMA `库表的名称`;
CREATE TABLE `库表的名称`.`users` (
`userid` INT NOT NULL COMMENT '',
`username` VARCHAR(45) NULL COMMENT '',
`password` VARCHAR(256) NULL COMMENT '',
`enabled` VARCHAR(5) NULL COMMENT '',
PRIMARY KEY (`userid`) COMMENT '');
- 向表中添加内容:
use 刚刚建立的库表的表名
insert into users(userid,username,password,enabled) values(1,'用户id',password("用户密码"),"TRUE");

- 创建表如下,一定要注意在sql中,不要忘记加“;”,不然就出不来了,只能强行退出

php+mysql编写网页
- 与数据库链接的php页面:

- 输入登录信息,登录成功:

- 在做实验的过程中,我发现数据表的名字不能叫USERS,因为这与默认的冲突,所以得换个名字,否则登录不成功

SQL注入
- 通过在Web表单中输入SQL语句,在一个存在安全漏洞的网站数据库上添加字段,把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器的目的。
- 上课老师讲的是永真注入,不过现在一般正常的网站登录都已经考虑到这个问题,注入是无效的
' or 1=1# - 注入成功:

这是因为注入后的查询SQL语句是:
SELECT * FROM users where username='' or 1=1#' and password=password('');构成了恒成立的条件同样的思路也可以通过sql注入保存用户名密码到数据库:';insert into users values(“52110”,"52110"));#,
查看数据表,发现新添加了一个用户

- 此时在登录,成功

XSS攻击
XSS攻击:跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,攻击者将代码植入到web页面中。这可以说是一种是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。
输入
<img src="5211.jpg" />20145211</a>来读取网页目录下的图片:

20145211 《网络对抗》Exp8 Web基础的更多相关文章
- 20145326蔡馨熤《网络对抗》—— Web基础
20145326蔡馨熤<网络对抗>—— Web基础 1.实验后回答问题 (1)什么是表单. 表单是一个包含表单元素的区域,表单元素是允许用户在表单中输入信息的元素,表单在网页中主要负责数据 ...
- 20155305《网络对抗》Web基础
20155305<网络对抗>Web基础 实验过程 Web前端:HTML 使用netstat -aptn查看80端口是否被占用(上次实验设置为Apache使用80端口),如果被占用了就kil ...
- 20155307实验八 《网络对抗》 Web基础
20155307实验八 <网络对抗> Web基础 实验过程 Web前端:HTML 使用netstat -aptn查看80端口是否被占用(上次实验设置为Apache使用80端口),如果被占用 ...
- 20155311《网络对抗》Web基础
20155311<网络对抗>Web基础 实验过程 Web前端:HTML 使用netstat -aptn查看80端口是否被占用(上次实验设置为Apache使用80端口),如果被占用了就kil ...
- 20145216史婧瑶《网络对抗》Web基础
20145216史婧瑶<网络对抗>Web基础 实验问题回答 (1)什么是表单 表单在网页中主要负责数据采集功能.一个表单有三个基本组成部分: 表单标签.表单域.表单按钮. (2)浏览器可以 ...
- 20145227鄢曼君《网络对抗》Web基础
20145227鄢曼君<网络对抗>Web基础 实验内容 (1)Web前端HTML (2)Web前端javascipt (3)Web后端:MySQL基础:正常安装.启动MySQL,建库.创建 ...
- 20145312袁心《网络对抗》Web基础实践
20145312袁心<网络对抗>Web基础实践 问题回答 1.什么是表单: 表单在网页中主要负责数据采集功能. 一个表单有三个基本组成部分: 表单标签:这里面包含了处理表单数据所用CGI程 ...
- 20145321 《网络对抗》 Web基础
20145321 <网络对抗> Web基础 基础问题回答 (1)什么是表单 表单在网页中主要负责数据采集功能,一个表单有三个基本组成部分:表单标签——这里面包含了处理表单数据所用CGI程序 ...
- 20145330 《网络对抗》 Web基础
20145330 <网络对抗> Web基础 1.实践内容 (1)Web前端HTML (2)Web前端javascipt (3)Web后端:MySQL基础:正常安装.启动MySQL,建库.创 ...
- 20144303石宇森 《网络对抗》 WEB基础实践
20144303石宇森 <网络对抗> WEB基础实践 实验后回答问题 一.什么是表单 表单是一个包含表单元素的区域.用form来定义. HTML是静态显示网页的,无法跟服务器进行交互,所以 ...
随机推荐
- Android Training - 管理应用的内存
http://hukai.me/android-training-managing_your_app_memory/ Random Access Memory(RAM)在任何软件开发环境中都是一个很宝 ...
- 关于OS命令注入的闭合问题
1.在Windows下 windows下非常好办,只需要&肯定可以执行: C:\Users\xxx\Desktop>aaaa | 127.0.0.1 'aaaa' 不是内部或外部命令,也 ...
- Minix2.0操作系统kernel文件分析
详细分析 MINIX消息机制的核心: mpx386.s start.c proc.c 保护模式分析: src/kernel/exception.c src/kernel/protect.c src/ ...
- 【BZOJ1877】[SDOI2009]晨跑 最小费用最大流
[BZOJ1877][SDOI2009]晨跑 Description Elaxia最近迷恋上了空手道,他为自己设定了一套健身计划,比如俯卧撑.仰卧起坐等 等,不过到目前为止,他坚持下来的只有晨跑. 现 ...
- [MongoDB] 用户权限管理
在新环境按照原来的步骤新装了MongoDB,结果出现了一些错误,才发现版本升到了2.6.1,用户权限相关的内容全部改掉了. 现在使用Role来管理用户,有一些内置的Role,也可以自定义Role. 内 ...
- Hadoop生态上几个技术的解释:hive、pig、hbase 关系与区别
hadoop生态圈 Pig 一种操作hadoop的轻量级脚本语言,最初又雅虎公司推出,不过现在正在走下坡路了.当初雅虎自己慢慢退出pig的维护之后将它开源贡献到开源社区由所有爱好者来维护.不过现在还是 ...
- Oracle数据库误删文件导致rman备份报错RMAN-06169解决办法
Oracle数据库误删文件导致rman备份报错RMAN-06169解决办法 可能是误删文件导致在使用rman备份时候出现以下提示 RMAN-06169: could not read file hea ...
- struts2的琐碎知识点
servlet:void init(ServletConfig cfg):// 读取servlet的配置参数void service(ServletRequest request, ServletRe ...
- LAMP开发(1)
apache web服务器软件,最近款的有7兆大小,工作:监听端口,接收请求,解析HTTP协议,转发给PHP比如:当一个客户端的请求发过来的时候,通常客户端(浏览器),请求发送给某一台IP,这个IP肯 ...
- Python开发【Tornado】:异步Web服务(一)
异步Web服务 前言: 到目前为止,我们已经看到了许多使Tornado成为一个Web应用强有力框架的功能.它的简单性.易用性和便捷性使其有足够的理由成为许多Web项目的不错的选择.然而,Tornado ...