实验九 Web安全基础 今天不多bb,打开webgoat就是干好吧 1.简单字符串sql注入 可以看到这个实验说明是 "下表允许用户查看其信用卡号码.尝试插入一个SQL字符串,以显示所有信用卡号码." 下面已经显示了后台使用的sql语句是 SELECT * FROM user_data WHERE last_name = 'Your Name' 既然我们的目的是要显示所有信用卡的记录,所以我们会想到让SELECT * FROM user_data WHERE后面的表达式为永真,所以我们…

实验八 Web基础 1.安装apache sudo apt-get install apache2 2.启动apache service apache2 start 3.使用netstat -tupln |grep 80命令查看80端口是否被占用,如果已被占用,修改配置文件ports.conf中的内容以修改监听端口vim /etc/apache2/ports.conf 4.重启apacheservice apache2 restart 5.测试apache是否正常工作 浏览器打开 127.0.0…

实验五 MSF基础应用 1.一个主动攻击实践,如ms17_010_eternalblue漏洞; 本次攻击目标是win7虚拟机 首先进行相应配置 然后点launch 就成功了 针对win7的漏洞还是相对较少的,而且大部分都不能用 一个针对浏览器的攻击,MS10_002_aurora漏洞攻击 本次目标机是winxp SP3 这次什么都不用填,直接launch 等待靶机连接 成功 3.针对客户端的攻击:adobe_toolbutton 这次的目标机还是winXP SP3 选择一个pdf文件作为目标 开…

实验一 逆向及Bof基础 1.实验对象为32位可执行文件pwn1,这个程序主要有main.foo.getshell这三个函数,其中foo函数功能为输出输入的字符串,getshell函数功能为打开一个shell,原程序中main函数只调用了foo函数,接下来我们先通过直接修改程序机器指令,改变程序执行流程,使getshell函数被调用 实验步骤如下 1.使用 objdump -d pwn1 | more 命令对pwn1进行反汇编 可以看到以下主要内容: 1.getshell函数的入口地址为0x08…

20155222卢梓杰 课堂测试ch06补做 1.下面代码中,对数组x填充后,采用直接映射高速缓存,所有对x和y引用的命中率为() A . 1 B . 1/4 C . 1/2 D . 3/4 正确答案: D 解析:在x结尾加了填充,x[i]和y[i]映射到了不同分组,消除了抖动冲突不命中,因此3/4的引用是命中的. 2.有关高速缓存的说法正确的是() A . 高速缓存的容量可以用C=SEB 来计算 B . 高速缓存容量为2048,高速缓存结构为( 32 ,8,8,32) C . 直接映射高速缓存…

20155222 卢梓杰 myod 复习c文件处理内容 编写myod.c 用myod XXX实现Linux下od -tx -tc XXX的功能 main与其他分开,制作静态库和动态库 编写Makefile 提交测试代码和运行结果截图, 提交调试过程截图,要全屏,包含自己的学号信息 在博客园发表一篇博客,重点写遇到的问题和解决过程 遇到问题:文件的末尾会连同控制符号LF一起输出 解决过程:在读入时做一个控制iscntrl(ch)判断是否是控制字符(需要头文件#include<ctype.h>)…

20155222卢梓杰 2016-2017-2 <Java程序设计>第2周学习总结 教材学习内容总结 数据类型 所占字节数 short整数 2 int整数 4 long整数 8 float浮点数 4 double浮点数 8 byte 1 char 2 java命名惯例:以小写字母开始,并在每个单字开始时第一个字母使用大写. 声明局部变量要赋初值. ++/--写在前面,先加减再引用,写在后面,先引用再加减. 教材学习中的问题和解决过程 enum类型是什么 基本概念 C语言,C#或C++等一些计算…

安装虚拟机及学习linux系统 20155222卢梓杰 首先按照要求下载virtualbox,没有遇到问题. 接下来新建一个虚拟机,按照要求应当安装乌班图64,这里只有32位的.在网上搜寻了许久,终于找到了靠谱的解决办法.首先在开机时按Fn+F1进入bios模式,然后开启虚拟化技术.终于安装上了乌班图64. 安装完成,好激动,要开机了. 对它的第一感觉就是--好卡,挪一下鼠标都有一秒延迟,还怎么在这上面编程.于是我又百度了一下,根据大部分人的说法,如果虚拟机内存在4g以下,适用32位系统,在4g…

2017-2018-2 20155225<网络对抗技术>实验九 Web安全基础 WebGoat 1.String SQL Injection 题目是想办法得到数据库所有人的信用卡号,用Smith登录后,得到Smith的两个信用卡号,如图 但如何才能得到所有人的信用卡号呢? 只需要输入' or 1 = ' 1,这样构造可以将引号闭合,再or上一个永真式,就能屏蔽掉前面的条件. 2.Log Spoofing 在User Name中以这种格式注入:Use CR (%0d) and LF (%0a)…

20155201 网络攻防技术 实验九 Web安全基础 一.实践内容 本实践的目标理解常用网络攻击技术的基本原理.Webgoat实践下相关实验. 二.报告内容: 1. 基础问题回答 1)SQL注入攻击原理,如何防御 SQL注入即是指web应用程序对用户输入数据的合法性没有判断,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息. SQL注入攻击的典型手段:判断应用程序是否存在注入漏洞,收集信息…