20222425 2024-2025-1 《网络与系统攻防技术》实验八实验报告

20222425 2024-2025-1 《网络与系统攻防技术》实验八实验报告

1.实验内容

本周内容：
Web安全基础/前后端
SQL注入原理
XSS脚本攻击
实验内容：
(1)Web前端HTML
能正常安装、启停Apache。理解HTML，理解表单，理解GET与POST方法，编写一个含有表单的HTML。
(2)Web前端javascipt
理解JavaScript的基本功能，理解DOM。
在（1）的基础上，编写JavaScript验证用户名、密码的规则。在用户点击登陆按钮后回显“欢迎+输入的用户名”
尝试注入攻击：利用回显用户名注入HTML及JavaScript。
(3)Web后端：MySQL基础：正常安装、启动MySQL，建库、创建用户、修改密码、建表
(4)Web后端：编写PHP网页，连接数据库，进行用户认证
(5)最简单的SQL注入，XSS攻击测试
(6)安装DVWA或WebGoat平台，并完成SQL注入、XSS、CSRF攻击。

2.实验过程

(1)Web前端HTML
能正常安装、启停Apache。理解HTML，理解表单，理解GET与POST方法，编写一个含有表单的HTML。
安装并启动Apache

打开网址http://127.0.0.1，Apache打开成功

编写一个含有表单的HTML
在kali终端输入vi /var/www/html/20222425.html命令（ /var/www/html/ 通常是Apache HTTP

打开浏览器，访问网址 http://127.0.0.1/20222425.html

(2)Web前端javascipt
理解JavaScript的基本功能，理解DOM。
在（1）的基础上，编写JavaScript验证用户名、密码的规则。在用户点击登陆按钮后回显“欢迎+输入的用户名”
尝试注入攻击：利用回显用户名注入HTML及JavaScript。
编写JavaScript验证用户名、密码的规则，在用户点击登陆按钮后回显“欢迎+输入的用户名”





成功登录，显示成功；缺少密码或密码错误会报错。
尝试注入攻击


尝试注入JavaScript


注入成功
(3)Web后端：MySQL基础：正常安装、启动MySQL，建库、创建用户、修改密码、建表
启动MYSQL

systemctl start mysql //打开MySQL服务
systemctl status mysql //显示MySQL服务的当前目前状态

service mysql start //启动MySQL服务
mysql_secure_installation //MySQL安全安装脚本
mysql -u root -p //登录到MySQL数据库
use mysql //切换大MySQL数据库
show databases； //列出MySQL服务器上的所有数据库

建立数据库create database 20222425lznj
并创建用户create user 'lznj'@'%' IDENTIFIED BY '20222425';
修改密码
建表create table user (username VARCHAR(30),password VARCHAR(20));
(4)Web后端：编写PHP网页，连接数据库，进行用户认证
进入vi编写PHP网页

编写网页
要把head中的if等判定语句删掉


打开php网页
打开浏览器，访问网址http://127.0.0.1/20222425.html


(5)最简单的SQL注入，XSS攻击测试
SQL注入：


XSS攻击：


(6)安装DVWA或WebGoat平台，并完成SQL注入、XSS、CSRF攻击。
安装Pikachu并完成SQL注入

xss攻击


CSRF攻击
打开信息修改页面

打开burp suite抓包，修改20222425为20222425lznj


讲抓到包的网址打开，并将地址CN改为dky

3.问题及解决方案

• 问题1：编辑PHP网页时总是不成功
• 问题1解决方案：将head头部分的if等判断语句删除

4.学习感悟、思考

通过本次实验加深了我对SQL注入，xss，csfr等攻击的理解，并在html，php下实现了这些攻击。在完成这一系列实验步骤后，我深刻体会到了网络安全的重要性。通过亲手搭建环境、编写代码，我不仅掌握了HTML、JavaScript、MySQL和PHP等技术的基本应用，还对Web安全中的一些常见攻击手段有了直观的认识和理解。特别是在进行SQL注入和XSS攻击测试时，我感受到了攻击者是如何利用网站的漏洞进行恶意操作的。这让我收获颇深。