20212428 2023-2024-2 《网络与系统攻防技术》实验八实验报告

1.实验内容

(1)Web前端HTML
能正常安装、启停Apache。理解HTML，理解表单，理解GET与POST方法，编写一个含有表单的HTML。
(2)Web前端javascipt
理解JavaScript的基本功能，理解DOM。
在（1）的基础上，编写JavaScript验证用户名、密码的规则。在用户点击登陆按钮后回显“欢迎+输入的用户名”
尝试注入攻击：利用回显用户名注入HTML及JavaScript。
(3)Web后端：MySQL基础：正常安装、启动MySQL，建库、创建用户、修改密码、建表
(4)Web后端：编写PHP网页，连接数据库，进行用户认证
(5)最简单的SQL注入，XSS攻击测试
(6)安装Webgoat或类似平台，并完成SQL注入、XSS、CSRF攻击。

2.实验过程

（1).Web前端HTML

1.开启Apache服务

2.理解HTML
HTML是构建网页的标准标记语言。它不是一种编程语言，而是一种用于定义网页内容和结构的标记集。
HTML文档由一系列的元素组成，这些元素由标签定义。

3.理解表单
表单是一个用于收集用户输入的重要元素。它允许用户输入数据，如文本、密码、选择项等，然后这些数据可以被发送到服务器进行进一步的处理。表单是网页与用户交互的主要方式之一，常用于用户注册、登录、搜索、调查问卷等场景
HTML表单由元素定义，该元素可以包含多种表单控件，如输入框（）、文本域（）、选择框（）、复选框（）、单选框（）、按钮（、）等。

4.理解GET与POST方法
GET：用于从服务器请求数据。它使用指定的URI（统一资源标识符）从服务器中检索信息，即请求指定资源的数据。
POST：用于向服务器提交数据，通常用于发送表单数据或上传文件。POST请求的数据被包含在请求体中。

5.创建含表单的html文件

(2)Web前端javascipt

1.理解JavaScript的基本功能
JavaScript可以通过修改HTML元素和CSS样式，实现动态内容的展示和交互效果，使网页更加生动和吸引人。
用户交互体验：通过响应用户的操作和事件，JavaScript可以实现各种交互功能，例如表单验证、按钮点击、菜单导航等，提升用户体验和互动性。
数据处理和计算：JavaScript提供了丰富的内置函数和对象，可以进行数据处理、计算和逻辑判断，实现复杂的业务逻辑和算法。
网络请求和数据交互：JavaScript可以发起网络请求，与服务器进行数据交互，实现异步加载数据、AJAX操作和RESTful API的调用。

2.理解DOM
DOM（Document Object Model，文档对象模型）是一个用于表示和操作HTML或XML文档的编程接口。它定义了文档的逻辑结构，以及文档和文档中的各个部分（如元素、属性和文本）之间的关系。通过DOM，开发者可以在程序中对文档的结构、样式和内容进行动态修改、添加或删除。

3.在（1）的基础上，编写JavaScript验证用户名、密码的规则。在用户点击登陆按钮后回显“欢迎+输入的用户名”，尝试注入攻击：利用回显用户名注入HTML及JavaScript。
在login20212428.html中加入JavaScript部分

编写php文件，使用户点击登录后可显示欢迎+用户名页面

(3)Web后端：MySQL基础：正常安装、启动MySQL，建库、创建用户、修改密码、建表

1.开启MySQL服务并进入root权限

2.选择mysql数据库，修改密码，更新权限

3.创建数据库

4.创建表格

5.创建用户

(4)Web后端：编写PHP网页，连接数据库，进行用户认证
1.编辑login20212428.php文件

2.登录login20212428.html，输入邮箱密码

3.登陆成功

(5)最简单的SQL注入，XSS攻击测试

1.SQL注入
邮箱输入“ ' or 1=1# ”，密码随意输入

2.XSS攻击
邮箱输入“ ”
点击“Login”登录，出现弹窗

3.问题及解决方案

问题1：html文件调用php文件时，php文件不会执行，会直接显示其中的代码内容

解决方案：

4.学习感悟、思考等

通过本次的实验复习了很多之前学过的前端html以及javascipt的知识，后端sql数据库，php文件的编写等等，前端的知识，html框架我记忆的更多一些，在制作表格，标题等的时候比较顺利，但是后端的知识我当初掌握的就不扎实，在本次实验的时候遇到了很多困难