目录

1.实验内容及要求

(1)Web前端HTML
能正常安装、启停Apache。理解HTML，理解表单，理解GET与POST方法，编写一个含有表单的HTML。
(2)Web前端javascipt
理解JavaScript的基本功能，理解DOM。
在（1）的基础上，编写JavaScript验证用户名、密码的规则。在用户点击登陆按钮后回显“欢迎+输入的用户名”
尝试注入攻击：利用回显用户名注入HTML及JavaScript。
(3)Web后端：MySQL基础：正常安装、启动MySQL，建库、创建用户、修改密码、建表
(4)Web后端：编写PHP网页，连接数据库，进行用户认证
(5)最简单的SQL注入，XSS攻击测试
(6)安装Webgoat或类似平台，并完成SQL注入、XSS、CSRF攻击。

2. 实验过程

2.1 Web前端HTML

1.开启apache服务
systemctl start apache2

登入网站查看是否成功开启127.0.0.1

2.编写一个带form表单的html代码

3.在浏览器打开///var/www/html/2403mfb_login.html

2.2 Web前段javascript

1.增添新的javascript代码

2.提交查看效果

3.注入HTML攻击

2403mfb注入

2.3 Web后端：mysql

1.打开mysql，检查状态

2.打开mysql

3.修改root密码

4.创造新的数据库

5.建表插入数据

2.4 Web后端：PHP

1.编写一个login.php用来链接数据库与web前端

同时展示一下web前端

2.输入数据库里注册好的账号

成功啦！！！代码

2.5简单的SQL注入，XSS攻击测试

1.sql注入
输入'or'1'=1'

成功
2.xss攻击
输入

2.6 安装Webgoat或类似平台，并完成SQL注入、XSS、CSRF攻击

在webgoat上答题
1.安装webgoat

注册账户

2.SQL注入
找到正确答案，要加'来实现注入

3.XSS攻击

4.CSRF攻击
f12查看代码，复制代码到本地，修改action网址127.0.0.1:8080
在本机运行则会显示flag，输入到webgoat中成功

3.遇到的问题及解决

问题1：php文件运行失败，总是会打开php文件而不是去运行代码
问题1解决方案：以127.0.0.1方式打开即可正常运行
问题2：无法链接数据库
问题2解决方案：反复修改php文件，搞懂每个函数的意义，每个变量都代表什么，最后成功了，也理解了他们之间的连接，各个变量的名字

4.学习感悟、思考：

我认为这次实验也是重在体验各种工具，有之前web编程的底子，做这些html网页以及php文件并没有受到很大的阻碍，以及最后的CSRF攻击，让我实实在在感受到了自己在课上所学习到的。有关SQL注入相关的知识，有一种丰收的喜悦。虽然实验到此结束了，但是这门课的实验真的让我有区别于以往的感觉，不是照本宣科而是自己手动照着目的摸索。望之后会越来越好！