20145234黄斐《网络对抗技术》实验八、Web基础
Apache
- 先通过
apachectl start
命令开启Apach,使用netstat -aptn
命令查看端口占用:
- 因为端口号80已经被占用(上次实验设置的),所以先修改
/etc/apache2/ports.conf
里的端口为5234后重新开启:
- 可以在浏览器中输入
localhost:5234
来检查是否正常开启,这里可以看到打开了上次实验的网页,开启正常:
简单的表单网页
- 在/var/www/html即上次实验网页所在的位置编写一个有表单的网页:
- 在浏览器中打开
localhost:5234/5234.html
(颜色可以查一下自己喜欢的颜色的色值写进去):
- 点击提交会把表单提交到指定页面,因为还没有编写php文件,所以提交后找不到页面:
javascript
- 相关概念:JavaScript是一种广泛用于客户端Web开发的脚本语言,常用来给HTML网页添加动态功能,比如响应用户的各种操作。
- 文档对象模型(Document Object Model,简称DOM,是W3C组织推荐的处理可扩展标志语言的标准编程接口。
- 编写验证用户名和密码的规则:(比如用户名和密码不能为空)
PHP测试
PHP,一个嵌套的缩写名称,是英文超级文本预处理语言(PHP:Hypertext Preprocessor)的缩写。PHP 是一种 HTML 内嵌式的语言,PHP与微软的ASP颇有几分相似,都是一种在服务器端执行的嵌入HTML文档的脚本语言,语言的风格有类似于C语言,现在被很多的网站编程人员广泛的运用。
一个简单的php测试代码:
- 打开
localhost:5234/5234php.php
:
MySQL
- 使用命令
/etc/init.d/mysql start
打开mysql服务 - 输入
mysql -u root -p
,并根据提示输入密码,默认密码为p@ssw0rd,进入MySQL:
- 可以使用命令
show databases;
查看信息(分号不可以漏掉,分号代表命令的结束):
- 如果想修改密码可以:
·输入use mysql;
,选择mysql数据库
·输入select user, password, host from user;
,mysql库中的user表中存储着用户名、密码与权限
·输入UPDATE user SET password=PASSWORD("新密码") WHERE user='root';
·输入flush privileges;
,更新权限
·输入quit
退出
- 重新登录就可以发现密码修改成功
创建新表
- 使用如下两条命令可以建立新表:
CREATE SCHEMA `库表的名称`;
CREATE TABLE `库表的名称`.`users` ( `userid` INT NOT NULL COMMENT '', `username` VARCHAR(45) NULL COMMENT '', `password` VARCHAR(256) NULL COMMENT '', `enabled` VARCHAR(5) NULL COMMENT '', PRIMARY KEY (`userid`) COMMENT '');
- 向表中添加内容:
use 刚刚建立的库表的表名
insert into users(userid,username,password,enabled) values(1,'用户id',password("用户密码"),"TRUE");
- 现在再查看信息就可以看到新建表:
php+mysql编写网页
- 网页的登录页面:
- 实现与数据库链接的php页面:
- 网页界面:
- 输入登录信息,登录成功:
- 如果错误的信息则不成功:
SQL注入
- SQL本是查询语句,可以实现对数据库的增、删、改、查等操作,是操作数据库数据的直接手段,但是SQL语句是存在缺陷的,根据前文中SQL的编写过程可以体会,当输入某些特定格式的字符串的时候,会利用语法避开一些检查,通常也叫这样的密码为“万能密码”
获取权限
- 在用户名输入框中输入
' or 1=1#
,密码随便输入,这时候的合成后的SQL查询语句为select * from info where usrname='' or 1=1#' and password='' and type=''
,#相当于注释符,会把后面的内容都注释掉,而1=1是永真式,所以这个条件肯定恒成立,所以能够成功登陆:
- 只要弄懂sql语句查询语法或者上网搜索,就可以找到很多这样的万能密码
增加权限:
- 通过sql注入保存用户名密码到数据库:
';insert into users(userid,username,password,enabled) values(5234,'huangyunguang',password("20145234"),"TRUE");#
- 重新登录,输入新账户,登录成功
XSS攻击
XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的phishing攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。
输入
<img src="123.jpg" />20145234</a>
来读取网页目录下的图片:
图片有点问题显示不出来 ,但还是有图片的图标
会话管理
这一步没做出来
转载于:https://www.cnblogs.com/taigenzhenjun/p/6833372.html
20145234黄斐《网络对抗技术》实验八、Web基础相关推荐
- 2018-2019-2 网络对抗技术 20165322 Exp8 Web基础
2018-2019-2 网络对抗技术 20165322 Exp8 Web基础 目录 实验原理 实验内容与步骤 Web前端HTML Web前端javascipt Web后端:MySQL基础:正常安装.启 ...
- 2017-2018-2 20155314《网络对抗技术》Exp8 Web基础
2017-2018-2 20155314<网络对抗技术>Exp8 Web基础 目录 实验内容 实验环境 基础问题回答 预备知识 实验步骤 1 macOS下Apache的配置 2 macOS ...
- php web 登陆验证和页面控制,# 2019-2020-2 20175308杨元 《网络对抗技术》Exp8 Web基础...
2019-2020-2 20175308杨元 <网络对抗技术>Exp8 Web基础 实践目标及内容 实践内容 (1)Web前端HTML(0.5分) 能正常安装.启停Apache.理解HTM ...
- 20155235 《网络攻防》 实验八 Web基础
20155235 <网络攻防> 实验八 Web基础 实验内容 Web前端HTML(0.5分) 能正常安装.启停Apache.理解HTML,理解表单,理解GET与POST方法,编写一个含有表 ...
- 2018-2019-2 网络对抗技术 20165230 Exp8 Web基础
目录 实验目的 实验内容 实验步骤 (一)Web前端HTML Apache HTML编程 (二) Web前端javascipt 基础知识理解 JavaScript编程 (三)Web后端:MySQL基础 ...
- 网络对抗技术—实验报告一
中国人民公安大学 Chinese people' public security university 网络对抗技术 实验报告 实验一 网络侦查与网络扫描 学生姓名 李家伟 年级 2014 ...
- 网络对抗技术实验报告一
学 号:201421410021 中国人民公安大学 Chinese people' public security university 网络对抗技术 实验报告 实验一 网络侦查与网络扫描 ...
- 网络对抗技术-实验报告一
中国人民公安大学 Chinese people' public security university 网络对抗技术 实验报告 实验一 网络侦查与网络扫描 学生姓名 蒋建辉 年级 2015 ...
- 网络对抗技术 实验五
学号:201521430027 中国人民公安大学 Chinese people' public security university 网络对抗技术 实验报告 实验五 综合渗透 学生姓名 ...
- 网络对抗技术 实验一
网络对抗技术 实验一 学号:201521430027 中国人民公安大学 Chinese people' public security university 网络对抗技术 实验报告 实验一 网络侦 ...
最新文章
- 可构造样式表 - 通过javascript来生成css的新方式
- 模型大十倍,性能提升几倍?谷歌研究员进行了一番研究
- java 线程---成员变量与局部变量
- 导入其他spring模块配置
- PHP面向对象 封装与继承
- DML和DQL 总结
- [转载] Python基础:什么是字符串?字符串是用来做什么的?
- oracle dbms 存放位置,系统统计信息的保存位置
- [转]python cookielib
- Spring.net 容器注入是替换(后处理器appConfigPropertyHolder)
- 从零开始Android游戏编程(第二版) 第十章 游戏循环的设计
- 一个简单的HTML网页——传统节日春节网页(HTML+CSS)
- Word编辑公式的快捷键与命令
- 张萌韩墨羽——Toolbar和DrawerLayout+SlideMenu 2种方式实现抽屉侧滑
- DOS命令:chkdsk
- python有道云笔记_GitHub - IthacaDream/youdaonote-pull: 一个一键导出 / 备份「有道云笔记」所有笔记的 Python 脚本...
- Firefox 插件位置
- 补淘宝单平台哪个便宜?如何补单才能增加权重?
- A Knight‘s Journey(POJ-2488)
- 对接支付宝App支付和网页支付接口详解