(还想补充内容,老师先别批改啊(´・ω・`) )
目录
-
一、实验任务
-
二、实验材料或资源
-
三、知识点梳理
-
四、实验思路
-
五、实验详细过程
- 5.1 SEED SQL注入攻击与防御实验
- 5.1.1 熟悉SQL语句
- 5.1.2 对SELECT语句的SQL注入攻击
- 5.1.3 对UPDATE语句的SQL注入攻击
- 5.1.4 SQL对抗
- 5.2 SEED XSS跨站脚本攻击实验(Elgg)
- 5.2.1 发布恶意消息,显示警报窗口
- 5.2.2 弹窗显示cookie信息
- 5.2.3 窃取受害者的cookies
- 5.2.4 成为受害者的朋友
- 5.2.5 修改受害者的信息
- 5.2.6 编写XSS蠕虫
- 5.2.7 对抗XSS攻击
- 5.1 SEED SQL注入攻击与防御实验
-
六、实验过程中遇到的问题及解决
-
七、学习收获及感想
实验十 Web应用程序安全攻防
实践内容:
一、SEED SQL注入攻击与防御实验
我们已经创建了一个Web应用程序,并将其托管在 三达不溜.SEEDLabSQLInjection.com。该Web应用程序是一个简单的员工管理应用程序。员工可以通过此Web应用程序查看和更新数据库中的个人信息。此Web应用程序主要有两个角色:管理员是特权角色,可以管理每个员工的个人资料信息。员工是一般角色,可以查看或更新自己的个人资料信息。完成以下任务:
熟悉SQL语句: 我们已经创建了一个名为Users的数据库,其中包含一个名为creditential的表。该表存储了每个员工的个人信息(例如,eid,密码,薪水,ssn等)。在此任务中,您需要使用数据库来熟悉SQL查询。
对SELECT语句的SQL注入攻击:上述Web应用存在SQL输入漏洞,任务是在不知道密码的情况下登陆该Web应用程序。
对UPDATE语句的SQL注入攻击:通过员工的更新个人界面实施UPDATE语句的SQL注入攻击。
SQL对抗:修复上述SQL注入攻击漏洞。
二、SEED XSS跨站脚本攻击实验(Elgg)
为了演示攻击者可以利用XSS漏洞做什么,我们在预先构建的Ubuntu VM映像中设置了一个名为Elgg的Web应用程序。在本实验中,学生需要利用此漏洞对经过修改的Elgg发起XSS攻击,攻击的最终目的是在用户之间传播XSS蠕虫,这样,无论是谁查看的受感染用户个人资料都将被感染。
发布恶意消息,显示警报窗口:在您的Elgg配置文件中嵌入一个JavaScript程序,以便当另一个用户查看您的配置文件时,将执行JavaScript程序并显示一个警报窗口。
弹窗显示cookie信息:将cookie信息显示。
窃取受害者的cookies:将cookie发送给攻击者。
成为受害者的朋友:使用js程序加受害者为朋友,无需受害者干预,使用相关的工具了解Elgg加好友的过程。
修改受害者的信息:使用js程序使得受害者在访问Alice的页面时,资料无需干预却被修改。
编写XSS蠕虫。
对抗XSS攻击。
五、实验详细过程
5.1 SEED SQL注入攻击与防御实验
5.1.1熟悉SQL语句
5.1.2 对SELECT语句的SQL注入攻击
5.1.3 对UPDATE语句的SQL注入攻击
5.1.4 SQL对抗
5.2SEED XSS跨站脚本攻击实验(Elgg)
5.2.1 发布恶意消息,显示警报窗口
5.2.2 弹窗显示cookie信息
5.2.3 窃取受害者的cookies
5.2.4 成为受害者的朋友
5.2.5 修改受害者的信息
5.2.6 编写XSS蠕虫
5.2.7 对抗XSS攻击
