20202405 2022-2023-2 《网络与系统攻防技术》实验八实验报告

X的绝对值 2023-05-24 17:27:17

20202405 2022-2023-2 《网络与系统攻防技术》实验八实验报告

2023年5月24日,我进行了网络与系统攻防技术第八次实验,实验报告如下。

目录

  • 20202405 2022-2023-2 《网络与系统攻防技术》实验八实验报告
  • 1 实验内容
  • 2 实验过程
  • 2.1 Web前端HTML
  • 2.2 Web前端javascipt
  • 2.3 Web后端:MySQL
  • 2.3.1 准备工作
  • 2.3.2 建立数据库,添加表
  • 2.4 Web后端:PHP
  • 2.5 简单的SQL注入,XSS攻击测试
  • 2.6 安装Webgoat或类似平台,完成SQL注入、XSS、CSRF攻击
  • 3.问题及解决方案
  • 4.学习感悟、思考等
  • 参考资料

1 实验内容

1.Web前端HTML
能正常安装、启停Apache。理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML。
2.Web前端javascipt
理解JavaScript的基本功能,理解DOM。
在1.的基础上,编写JavaScript验证用户名、密码的规则。在用户点击登陆按钮后回显“欢迎+输入的用户名”。
尝试注入攻击:利用回显用户名注入HTML及JavaScript。
3.Web后端:MySQL基础:正常安装、启动MySQL,建库、创建用户、修改密码、建表。
4.Web后端:编写PHP网页,连接数据库,进行用户认证。
5.最简单的SQL注入,XSS攻击测试。
6.安装Webgoat或类似平台,并完成SQL注入、XSS、CSRF攻击。

2 实验过程

2.1 Web前端HTML

1.开启Apache。

systemctl start apache2

在这里插入图片描述

2.在浏览器中输入127.0.0.1,发现显示了apache的界面,证明服务开启成功。(没打开的时候显示的不是,已经尝试过了。)

在这里插入图片描述

3.进入 /var/www/html路径,新建一个表单的html文件。

在这里插入图片描述

4.编写一个带表单的html代码。

在这里插入图片描述

5.在浏览器输入 /var/www/html/20202405login.html,打开网页,就是编写的html。

在这里插入图片描述

2.2 Web前端javascipt

1.在原有的html的基础上,添加一段JavaScript代码,判断用户是否输入账号、密码。

在这里插入图片描述

2.点击提交尝试,效果如下。

在这里插入图片描述

3.尝试注入攻击:利用回显用户名注入HTML及JavaScript。
(1)注入HTML
输入:

<p>20202405lxlHTML注入</p>

在这里插入图片描述

如图所示,注入成功。
(2)注入JavaScript
输入:

<script type="text/javascript"> alert("20202405lxlJavaScript注入") </script>

在这里插入图片描述

如图所示,注入成功。

2.3 Web后端:MySQL

2.3.1 准备工作

1.下载mariadb。

在这里插入图片描述

2.打开MySQL服务,并查看服务状态。

在这里插入图片描述

3.进入mysql数据库,查看现有的数据库。

在这里插入图片描述

4.查看用户表数据,修改root密码并更新权限。

在这里插入图片描述

5.修改root密码后重新登录,进入数据库并查看用户表数据。

在这里插入图片描述

2.3.2 建立数据库,添加表

1.创建数据库lxl20202405。

在这里插入图片描述

2.在数据库中创建loginuser 登录用户表,并添加一条记录。

在这里插入图片描述

2.4 Web后端:PHP

1.编写login.php。

在这里插入图片描述

2.输入刚刚的账号密码,登录成功。

在这里插入图片描述

2.5 简单的SQL注入,XSS攻击测试

1.sql注入。
输入' or '1'='1。

在这里插入图片描述

2.xss攻击。
输入。

在这里插入图片描述

2.6 安装Webgoat或类似平台,完成SQL注入、XSS、CSRF攻击

用Webgoat平台完成“通关”。
1.SQL注入

在这里插入图片描述

2.XSS攻击

在这里插入图片描述

利用进行XSS攻击。
3.CSRF攻击
proxy抓包,把Referer的8080修改。

在这里插入图片描述


在这里插入图片描述


在这里插入图片描述

3.问题及解决方案

问题: 缺乏web基础,刚开始无法理解实验要求。
问题解决方案:其实,我想偷懒,找人类的好朋友chatGPT生成html,也让他帮忙补充JavaScript。但是我实在是水平低下,看不懂他写的,于是找了学长学姐的报告,从他们的报告中学习了html代码的编写,最后才完成了这些。其他的也没遇到啥问题了。

4.学习感悟、思考等

时间很快,一眨眼,最后一次网络攻防实验也做完了。

回首这学期的课程,只觉得神奇,原来我的大三下也结束了,原来我正式上课的时间已经寥寥无几了。这个学习感悟怎么写呢?我想用点心,也想用点情,但是话到嘴边说不出来。

这次实验比以前的难,也算是收官之战了吧。互联网十分重要,我了解了做好Web安全的重要意义,一定更加努力学习,不负这个专业。

最后,感谢帮助我的同学,感谢王老师。下面就要奋战大作业和课设啦!

参考资料

本次实验中,参考资料较少,为:
邢学姐实验报告

...全文
281 回复 打赏 收藏 转发到动态 举报
写回复
用AI写文章
回复
切换为时间正序
请发表友善的回复…
发表回复
源码下载地址: https://pan.quark.cn/s/8d2c461c797c JavaWeb程序设计构成了掌握Web交互式应用程序开发的核心领域,对于初学者来说,精通这一技术具有决定性意义。在“JavaWeb程序设计(第三版)作业答案”中,我们可以预期获得针对该教材习题的一系列深入解析,从而协助学习者强化知识体系。 JavaWeb所包含的技术组件涵盖了Servlet、JSP(JavaServer Pages)、JDBC(Java Database Connectivity)以及各类框架如Spring MVC、Struts等。Servlet是Java平台提供的一种扩展服务器功能的接口,能够处理HTTP请求并生成相应的反馈。JSP则是一种用于构建动态网页的工具,它支持开发者将HTML代码与Java代码进行整合编写,从而简化了Web应用程序的开发流程。 作业答案通常会涉及以下几个核心内容: 1. **Servlet基础**:可能包含Servlet生命周期、init(), service(), destroy()方法的应用,以及如何在web.xml文件中设定Servlet的映射关系。 2. **JSP基础**:JSP的九大内置对象,如request、response、session、application等的使用,以及EL(Expression Language)和JSTL(JavaServer Pages Standard Tag Library)的实际操作。 3. **HTTP协议理解**:GET和POST请求方法的差异,请求头与响应头的应用,以及会话管理的概念阐释。 4. **JDBC数据库操作**:与数据库建立连接,执行SQL指令,处理查询结果集,以及...
源码链接: https://pan.quark.cn/s/a4b39357ea24 斐讯K2是一款广受用户青睐的无线路由器,其运行表现稳定且具备较高的可操作性,在DIY爱好者群体中拥有极高的声誉。本资料将系统性地阐述斐讯K2的固件刷机方法及其关联的技术要点。固件升级是路由器爱好者改善设备性能、扩展功能的一种普遍手段,经由替换出厂固件,能够达成更加个性化的网络配置、增强安全防护等目标。斐讯K2固件资源库涵盖了多种知名的非官方固件,诸如Tomato Pheonix 不死鸟、高恪、PandoraBox 潘多拉等,这些固件均具备独特的优势,能够适配不同用户的需求。 1. Tomato Pheonix 不死鸟:Tomato是一款立足于Linux的开源固件,以其精巧、高效而备受推崇。不死鸟版本是专门为华硕及斐讯路由器优化的分支,提供了卓越的QoS(服务质量)配置、详尽的图表监控以及便捷的固件升级途径。对于那些需要精准调控带宽和监测网络状态的用户而言,这是一个理想的选项。 2. 高恪:高恪固件是OpenWrt的定制化版本,着重于操作的便捷性和运行的可靠性,特别适合对路由器操作不甚熟悉的用户群体。它提供了一些实用的功能,例如内置的广告屏蔽、快速测速工具等,同时保留了OpenWrt的适应性。 3. PandoraBox 潘多拉:潘多拉盒是另一款基于OpenWrt的固件,它以丰富的插件库和强大的自定义潜力而闻名。用户能够依据个人需求安装各类插件,实现更多功能,如远程接入、DDNS(动态域名解析服务)等。 4. 官方固件的纯净版本与定制版本:官方固件通常更侧重于稳定性,纯净版意味着未预置额外的应用或服务,适合注重稳定性的用户。定制版则可能包含了制造商的特色功能或优...

93

社区成员

发帖
与我相关
我的任务
社区描述
网络与系统攻防技术课程作业
网络安全系统安全 高校
社区管理员
  • blackwall0321
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧