摘要：20212937 曾俊铭 2021-2022-2 《网络攻防实践》实践报告 1.实践内容 SQL注入漏洞原理 参数是用户可控的，也就是前端传入后端的参数的内容是用户可以控制的； 参数被带入数据库进行查询，也就是传入的参数被拼接到SQL语句中，并且被带入到数据库进行查询； xss漏洞原理 由于程序员在 阅读全文

摘要：20212937 曾俊铭 2021-2022-2 《网络攻防实践》实践报告 1.实践内容 什么是sql注入呢？ 所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB 阅读全文

摘要：20212937 曾俊铭 2021-2022-2 《网络攻防实践》实践报告 1.实践内容 实践目标: 本次实践的对象是一个名为pwn1的linux可执行文件。 手工修改可执行文件，改变程序执行流程，直接跳转到getShell函数。 利用foo函数的Bof漏洞，构造一个攻击输入字符串，覆盖返回地址，触 阅读全文

摘要：20212937 曾俊铭 2021-2022-2 《网络攻防实践》实践报告 1.实践内容 1.1 恶意代码定义与分类 恶意代码定义：恶意代码指的是计算机按照攻击者的意图执行以达到恶意目标的指令集；其中恶意代码是一组指令集，它的实现方式可以是二进制执行文件、脚本语言代码、宏代码、或是寄生在其他代码或启 阅读全文

摘要：20212937 曾俊铭 2021-2022-2 《网络攻防实践》 1.实践内容 Linux系统远程攻防技术 远程口令字猜测攻击 通过前面提到的服务嗅探用户账户名或者使用缺省内件账户的用户名进行密码猜测。 口令字猜测攻击通常针对使用弱口令的的账户破解。 除了SSH网络服务之外，还可以通过对HTTP/ 阅读全文