20145226夏艺华 网络对抗技术 EXP9 web安全基础实践 !!!免考项目:wannacry病毒分析+防护 一.实验后回答问题 SQL注入攻击原理,如何防御 攻击原理 "SQL注入"是一种利用未过滤/未审核用户输入的攻击方法("缓存溢出"和这个不同),意思就是让应用运行本不应该运行的SQL代码.如果应用毫无防备地创建了SQL字符串并且运行了它们,就会造成一些出人意料的结果. 注入方法一般有两种: 方法一:采用直接猜表名和列名的方法或者是利用报错信息来确定表明…

2018-2019-2 20165205 网络对抗技术 Exp9 Web安全基础 1.基础问题 SQL注入攻击原理,如何防御 原理: SQL注入指攻击者在提交查询请求时将SQL语句插入到请求内容中,同时程序本身也对输入语句没有过滤,导致SQL语句被执行. 预防: 对输入字符长度进行限制 对输入数据进行关键字过滤, 加密数据库 在PHP配置中进行防范,如:Register_globals=off;拒绝在输入行进行注册:Safe_mode=on;开启安全模式 XSS攻击的原理,如何防御 原理:XSS…

2017-2018-2 20155314<网络对抗技术>Exp9 Web安全基础 目录 实验目标 实验内容 实验环境 基础问题回答 预备知识 实验步骤--WebGoat实践 0x10 WebGoat基础配置 0x20 Injection Flaws:注入缺陷攻击实践 0x21 Command Injection:命令注入 0x22 Numeric SQL Injection:数字型 SQL 注入 0x23 Log Spoofing:日志欺骗 0x24 String SQL Injection:…

2017-2018-2 『网络对抗技术』Exp9:Web安全基础 --------CONTENTS-------- 一.基础问题回答 1.SQL注入攻击原理,如何防御? 2.XSS攻击的原理,如何防御? 3.CSRF攻击原理,如何防御? 二.实践过程记录 1.General ①Http Basics 2.Code Quality ①Discover Clues in the HTML 3.Cross-Site Scripting(XSS) ①Phishing with XSS ②Stored X…

2017-2018-2 20155319<网络对抗技术>Exp9 :Web安全基础 实践过程 webgoat准备 从GitHub上下载jar包(老师的虚拟机中有 无需下载) 拷贝到本地,并使用命令java -jar webgoat-container-7.0.1-war-exec.jar运行Webgoat,出现INFO: Starting ProtocolHandler ["http-bio-8080"]则开启成功,可以看到占用8080端口. 打开浏览器输入127.0.0.…

[-= 博客目录 =-] 1-实践目标 1.1-实践介绍 1.2-实践内容 1.3-实践要求 2-实践过程 2.1-HTML 2.2-Injection Flaws 2.3-XSS 2.4-CSRF 2.5-基础问题回答 3-资料 1-实践目标 1.1-web安全基础 本实践的目标理解常用网络攻击技术的基本原理.Webgoat实践下相关实验. 返回目录 1.2-实践内容 本实践的目标理解常用网络攻击技术的基本原理.Webgoat实践下相关实验. 返回目录 1.3-实践要求 基础问题回答 SQL注…

<网络对抗技术>Exp9 Web安全基础 Week13 一.实验目标与内容 1.实践内容 (1).本实践的目标理解常用网络攻击技术的基本原理,做不少于7个题目.包括(SQL,XSS,CSRF).Webgoat实践下相关实验. 2.一些问题 (1)SQL注入攻击原理,如何防御 答:SQL注入漏洞是指在Web应用对后台数据库查询语句处理存在的安全漏洞.也就是,在输入字符串中嵌入SQL指令,在设计程序中忽略对可能构成攻击的特殊字符串的检查.后台数据库将其认作正常SQL指令后正常执行,可能实现对后台数…

2018-2019-2 20165315<网络对抗技术>Exp9 Web安全基础 目录 一.实验内容 二.实验步骤 1.Webgoat前期准备 2.SQL注入攻击 Command Injection Numeric SQL Injection Log Spoofing String SQL Injection LAB:SQL Injection Database Backdoors 3.XSS攻击 Phishing with XSS 4.CSRF攻击 三.实验中遇到的问题 四.实验总结 1.实…

2018-2019-2 网络对抗技术 20165322 Exp9 Web安全基础 目录 实验内容与步骤 (一)Webgoat安装 (二)SQL注入攻击 1.命令注入(Command Injection) 2.字符串型输入(Command Injection) 3.日志欺骗(Log Spoofing) (三)XSS攻击 1.跨站脚本钓鱼攻击(Phishing with XSS) 2.存储型XSS攻击(Stored XSS Attacks) 3.反射型XSS攻击(Reflected XSS Atta…

2018-2019-2 20165212<网络对抗技术>Exp9 Web安全基础 基础问题回答 1.SQL注入攻击原理,如何防御? 原理:SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令. sql注入攻击是利用是指利用设计上的漏洞,在目标服务器上运行Sql语句以及进行其他方式的攻击,动态生成Sql语句时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因.如:在用户名.密码登输入框中输入一些',--,#等特殊字符…