20145234黄斐《网络对抗技术》实验八、Web基础
Apache
- 先通過(guò)apachectl start命令開(kāi)啟Apach,使用netstat -aptn命令查看端口占用:
- 因?yàn)槎丝谔?hào)80已經(jīng)被占用(上次實(shí)驗(yàn)設(shè)置的),所以先修改/etc/apache2/ports.conf里的端口為5234后重新開(kāi)啟:
- 可以在瀏覽器中輸入localhost:5234來(lái)檢查是否正常開(kāi)啟,這里可以看到打開(kāi)了上次實(shí)驗(yàn)的網(wǎng)頁(yè),開(kāi)啟正常:
簡(jiǎn)單的表單網(wǎng)頁(yè)
- 在/var/www/html即上次實(shí)驗(yàn)網(wǎng)頁(yè)所在的位置編寫一個(gè)有表單的網(wǎng)頁(yè):
- 在瀏覽器中打開(kāi)localhost:5234/5234.html(顏色可以查一下自己喜歡的顏色的色值寫進(jìn)去):
- 點(diǎn)擊提交會(huì)把表單提交到指定頁(yè)面,因?yàn)檫€沒(méi)有編寫php文件,所以提交后找不到頁(yè)面:
?
javascript
- 相關(guān)概念:JavaScript是一種廣泛用于客戶端Web開(kāi)發(fā)的腳本語(yǔ)言,常用來(lái)給HTML網(wǎng)頁(yè)添加動(dòng)態(tài)功能,比如響應(yīng)用戶的各種操作。
- 文檔對(duì)象模型(Document Object Model,簡(jiǎn)稱DOM,是W3C組織推薦的處理可擴(kuò)展標(biāo)志語(yǔ)言的標(biāo)準(zhǔn)編程接口。
- 編寫驗(yàn)證用戶名和密碼的規(guī)則:(比如用戶名和密碼不能為空)
PHP測(cè)試
-
PHP,一個(gè)嵌套的縮寫名稱,是英文超級(jí)文本預(yù)處理語(yǔ)言(PHP:Hypertext Preprocessor)的縮寫。PHP 是一種 HTML 內(nèi)嵌式的語(yǔ)言,PHP與微軟的ASP頗有幾分相似,都是一種在服務(wù)器端執(zhí)行的嵌入HTML文檔的腳本語(yǔ)言,語(yǔ)言的風(fēng)格有類似于C語(yǔ)言,現(xiàn)在被很多的網(wǎng)站編程人員廣泛的運(yùn)用。
-
一個(gè)簡(jiǎn)單的php測(cè)試代碼:
- 打開(kāi)localhost:5234/5234php.php:
MySQL
- 使用命令/etc/init.d/mysql start打開(kāi)mysql服務(wù)
- 輸入mysql -u root -p,并根據(jù)提示輸入密碼,默認(rèn)密碼為p@ssw0rd,進(jìn)入MySQL:
- 可以使用命令show databases;查看信息(分號(hào)不可以漏掉,分號(hào)代表命令的結(jié)束):
- 如果想修改密碼可以:
·輸入use mysql;,選擇mysql數(shù)據(jù)庫(kù)
·輸入select user, password, host from user;,mysql庫(kù)中的user表中存儲(chǔ)著用戶名、密碼與權(quán)限
·輸入U(xiǎn)PDATE user SET password=PASSWORD("新密碼") WHERE user='root';
·輸入flush privileges;,更新權(quán)限
·輸入quit退出
- 重新登錄就可以發(fā)現(xiàn)密碼修改成功
創(chuàng)建新表
- 使用如下兩條命令可以建立新表:
?
- 向表中添加內(nèi)容:
use 剛剛建立的庫(kù)表的表名
insert into users(userid,username,password,enabled) values(1,'用戶id',password("用戶密碼"),"TRUE");
?
- 現(xiàn)在再查看信息就可以看到新建表:
php+mysql編寫網(wǎng)頁(yè)
- 網(wǎng)頁(yè)的登錄頁(yè)面:
- 實(shí)現(xiàn)與數(shù)據(jù)庫(kù)鏈接的php頁(yè)面:
- 網(wǎng)頁(yè)界面:
- 輸入登錄信息,登錄成功:
- 如果錯(cuò)誤的信息則不成功:
?
SQL注入
- SQL本是查詢語(yǔ)句,可以實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的增、刪、改、查等操作,是操作數(shù)據(jù)庫(kù)數(shù)據(jù)的直接手段,但是SQL語(yǔ)句是存在缺陷的,根據(jù)前文中SQL的編寫過(guò)程可以體會(huì),當(dāng)輸入某些特定格式的字符串的時(shí)候,會(huì)利用語(yǔ)法避開(kāi)一些檢查,通常也叫這樣的密碼為“萬(wàn)能密碼”
獲取權(quán)限
- 在用戶名輸入框中輸入' or 1=1#,密碼隨便輸入,這時(shí)候的合成后的SQL查詢語(yǔ)句為select * from info where usrname='' or 1=1#' and password='' and type='',#相當(dāng)于注釋符,會(huì)把后面的內(nèi)容都注釋掉,而1=1是永真式,所以這個(gè)條件肯定恒成立,所以能夠成功登陸:
- 只要弄懂sql語(yǔ)句查詢語(yǔ)法或者上網(wǎng)搜索,就可以找到很多這樣的萬(wàn)能密碼
增加權(quán)限:
- 通過(guò)sql注入保存用戶名密碼到數(shù)據(jù)庫(kù):';insert into users(userid,username,password,enabled) values(5234,'huangyunguang',password("20145234"),"TRUE");#
- 重新登錄,輸入新賬戶,登錄成功
XSS攻擊
-
XSS攻擊:跨站腳本攻擊(Cross Site Scripting),為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆。故將跨站腳本攻擊縮寫為XSS。XSS是一種經(jīng)常出現(xiàn)在web應(yīng)用中的計(jì)算機(jī)安全漏洞,它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁(yè)面中。比如這些代碼包括HTML代碼和客戶端腳本。攻擊者利用XSS漏洞旁路掉訪問(wèn)控制——例如同源策略(same origin policy)。這種類型的漏洞由于被駭客用來(lái)編寫危害性更大的phishing攻擊而變得廣為人知。對(duì)于跨站腳本攻擊,黑客界共識(shí)是:跨站腳本攻擊是新型的“緩沖區(qū)溢出攻擊“,而JavaScript是新型的“ShellCode”。
-
輸入<img src="123.jpg" />20145234</a>來(lái)讀取網(wǎng)頁(yè)目錄下的圖片:
圖片有點(diǎn)問(wèn)題顯示不出來(lái) ,但還是有圖片的圖標(biāo)
會(huì)話管理
這一步?jīng)]做出來(lái)
?
轉(zhuǎn)載于:https://www.cnblogs.com/taigenzhenjun/p/6833372.html
總結(jié)
以上是生活随笔為你收集整理的20145234黄斐《网络对抗技术》实验八、Web基础的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: k2系列-安装篇
- 下一篇: ucore操作系统实验笔记 - Lab1