20145233《网络对抗》Exp8 Web基础
20145233《网络对抗》Exp8 Web基础
实验问题思考
- 什么是表单?
- 表单在网页中主要负责数据采集功能
- 一个表单有三个基本组成部分: 表单标签
- 表单域:包含了文本框、密码框、隐藏域、多行文本框、复选框、单选框、下拉选择框和文件上传框等
- 表单按钮:包括提交按钮、复位按钮和一般按钮.表单按钮可以用于将数据传送到服务器上的CGI脚本或者取消输入,还可以用表单按钮来控制其他定义了处理脚本的处理工作
- 浏览器可以解析运行什么语言?
- 超文本标记语言:HTML
- 可扩展标记语言:XML
- 脚本语言:ASP、PHP、Script、JavaScript、VBScript、Perl、Python、ColdFusion、Java、JSP等
- WebServer支持哪些动态语言?
- php、asp、net、java、ruby等多种动态开发语言
实验内容
- Web前端HTML
- 能正常安装、启停Apache。理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML。
- Web前端javascipt
- 理解JavaScript的基本功能,理解DOM。编写JavaScript验证用户名、密码的规则。
Web后端:MySQL基础:正常安装、启动MySQL,建库、创建用户、修改密码、建表
Web后端:编写PHP网页,连接数据库,进行用户认证
- 最简单的SQL注入,XSS攻击测试
- 功能描述:用户能登陆,登陆用户名密码保存在数据库中,登陆成功显示欢迎页面
实验过程
(我做完了才发现怎么名字又变回老师的名字了,我以为上次改过之后会保存的,但是实验中的所有都是我自己做的,绝无虚假!)
Apache
先通过
apachectl start
命令开启Apach,使用netstat -aptn
命令查看端口占用的情况
因为端口号80已经被占用(上次DNS实验设置的),所以先修改
/etc/apache2/ports.conf
里的端口为5233后重新开启
可以在浏览器中输入
localhost:5233
来检查是否正常开启,这里可以看到打开了上次实验的网页,启动正常
简单的表单网页
重新生成一个5233.html文件,做成一个有表单功能的网页:
- 在浏览器中打开localhost:5233/5233.html(颜色我使用了一个很有意思的颜色):
(当然是选择原谅她啊)
点击提交会把表单提交到指定页面,因为还没有编写php文件,所以提交后找不到页面(notfound):
javascript
- JavaScript是一种广泛用于客户端Web开发的脚本语言,常用来给HTML网页添加动态功能,比如响应用户的各种操作。
- 文档对象模型(Document Object Model,简称DOM,是W3C组织推荐的处理可扩展标志语言的标准编程接口。
- 编写验证用户名和密码的规则:(例如用户名和密码不能为空)
function nameText(){
var name= document.getElementByIdx_x ("username");var divID= document.getElementByIdx_x ("divName");divID.innerHTML="";if(name.value==""){divID.innerHTML="用户名不能为空";return false;
}
}
function passText(){
var pass= document.getElementByIdx_x ("password");var divIP= document.getElementByIdx_x ("divPass");divIP.innerHTML="";if(pass.value==""){divIP.innerHTML="密码不能为空";return false;
}
}
}
</script>
PHP测试
PHP,一个嵌套的缩写名称,是英文超级文本预处理语言(PHP:Hypertext Preprocessor)的缩写。PHP 是一种 HTML 内嵌式的语言,PHP与微软的ASP颇有几分相似,都是一种在服务器端执行的嵌入HTML文档的脚本语言,语言的风格有类似于C语言,现在被很多的网站编程人员广泛的运用。
简单的php测试代码:
<?phpecho ($_GET["A"]);include($_GET["A"]);echo "php page test!hahahahahaha<br>";
?>
20145233
- 打开
localhost:5208/20145208test.php:
MySQL
使用命令
/etc/init.d/mysql start
打开mysql服务
输入
mysql -u root -p
,并根据提示输入密码,默认密码为p@ssw0rd
,进入MySQL:可以使用命令
show databases;
查看信息(注意:分号不能漏掉,因为分号表示命令结束)
- 修改密码可以进行下列指令:
- 输入
use mysql;
,选择mysql数据库 - 输入
select user, password, host from user;
,mysql库中的user表中存储着用户名、密码与权限 - 输入
UPDATE user SET password=PASSWORD("新密码") WHERE user='root';
- 输入
flush privileges;
,更新权限 - 输入
quit
退出
- 输入
重新登录就可以发现密码修改成功
创建新表
使用如下两条命令可以建立新表(开始的符号出错了导致有一个error)
CREATE SCHEMA `库表的名称`;
CREATE TABLE `库表的名称`.`users` (`userid` INT NOT NULL COMMENT '',`username` VARCHAR(45) NULL COMMENT '',`password` VARCHAR(256) NULL COMMENT '',`enabled` VARCHAR(5) NULL COMMENT '',PRIMARY KEY (`userid`) COMMENT '');
- 向表中添加内容:
- use 刚刚建立的库表的表名
insert into users(userid,username,password,enabled) values(1,'用户id',password("用户密码"),"TRUE");
再次show查看信息就可以看到新建表:
php+mysql编写网页
- 网页的登录页面:
<html lang="en">
<head><meta charset="UTF-8"><title>login</title><script type="text/javascript"> $("#login-button").click(function(event){event.preventDefault(); $('form').fadeOut(500);$('.wrapper').addClass('form-success');});function check(){{if(form.username.value == "")//如果用户名为空{alert("您还没有填写用户名!");form.username.focus();return false;}if(form.pass.value == "")//如果密码为空{alert("您还没有填写密码!");myform.pass.focus();return false;}} </script>
</head>
<body><div class="wrapper"><div class="container"><h1>Welcome</h1> <form name='form' class="form" method='get' action='login.php' onSubmit="return check()"><input type="text" placeholder="Username" name='username'><input type="password" placeholder="Password" name='password'><button type="submit" id="login-button" name='submit' value='submit'>Login</button><button type="submit" id="register-button"><a href="register.html" class="cc">register</a></button></form></div></div>
</body>
</html>
- 实现与数据库链接的php页面:
<?php
$uname=($_GET["username"]);
$pwd=($_GET["password"]);
echo $uname;
$query_str="SELECT * FROM users where username='{$uname}' and password=password('{$pwd}');";
echo "<br> {$query_str} <br>";
$mysqli = new mysqli("127.0.0.1", "root", "20145233", "hhc_5233");
/* check connection */
if ($mysqli->connect_errno) {printf("Connect failed: %s\n", $mysqli->connect_error);
}
else echo "aishiyidaoguang,rucimeimiao<br>";if ($result1= $mysqli->multi_query($query_str))echo "dangranshixuanzeyuanliangtaa <br> ";
$mysqli->close();
$mysqli = new mysqli("127.0.0.1", "root", "20145233", "hhc_5233");
/* check connection */
if ($mysqli->connect_errno) {printf("Connect failed: %s\n", $mysqli->connect_error);exit();
}
echo "connection ok!";
/* Select queries return a resultset */
if ($result = $mysqli->query($query_str)) {if ($result->num_rows > 0 ){echo "<br> Wellcome login Mr/Mrs:{$uname} <br> ";} else {echo "<br> login failed!!!! <br> " ;}/* free result set */$result->close();
}
$mysqli->close();
?>
输入登录信息,登录成功:
输入登录信息,登录失败:
SQL注入
- 老师上课所讲的永真式注入:
' or 1=1#
,密码随便输入 开始注入的时候我出现了问题,是因为我没有将库的信息输入正确,我自己前面设置的密码与其他搞混了,出现以下状况,修改后成功:
注入成功
- 接下来我看到了蔡野同学通过sql注入保存用户名密码到数据库,我也同样试用了一下他的方法,利用这个判断将结果引导其他地方:
';insert into users(userid,username,password,enabled) values(5233,'hhc',password("20145233"),"TRUE");#
注入成功(爱是一道光如此美妙):
XSS攻击
- XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的phishing攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。
- 在html文件下放置一个图片:
- 输入
<img src="5233.jpg" />20145233</a>
来读取网页目录下的图片(可爱的2b小姐姐):
会话管理
- 实验代码参照罗天晨同学的代码git托管
进入http://localhost:5233/logIn.php并登录发贴:
我的这里有些问题,无法跳转很奇怪,我会在之后继续研究
实验总结
- 本次实验涉及到的只是还是比较多的,其中关于javaweb的知识还是比较多的,这又让我想起了Java,曾经被Java博客支配的恐惧,不过刘老师的博客写的还是让人很舒服的,觉得有所收获,不像java一样难懂,虽然Java也有所学。
- 其中关于网页编写的地方,很多地方都有些遗忘了,只记得比较简单的地方,在后面的实验中,我看到有的同学还是可以凭借自己的实力写出代码,我还是觉得他们很厉害,学的知识不容易忘。我觉得自己在这方面还是需要加强,知识需要不停地复习。
- 在最后一部分的会话管理中,我的出现了问题,就是输入库里的账号密码信息,居然没有跳转,不清楚是为什么,在咨询了蔡野同学之后,依旧没有解答,所以我先将这个问题放在这里,就在这两天对其进行更详细的解答。
转载于:https://www.cnblogs.com/hanhaochen/p/6822237.html
20145233《网络对抗》Exp8 Web基础相关推荐
- 2018-2019 20165208 网络对抗 Exp8 Web基础
目录 2018-2019 20165208 网络对抗 Exp8 Web基础 实验内容 基础问题回答 实践过程记录 1. Apache准备 2. Web前端HTML 3. Web前端javascipt ...
- 网络对抗 Exp8 Web基础 20154311 王卓然
Exp8 Web基础 1. 实验内容 (1) Web前端HTML:能正常安装.启停Apache.理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML. (2) Web前端jav ...
- 20144306《网络对抗》Web基础
1 实验内容 Web前端HTML:能正常安装.启停Apache.理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML. Web前端javascipt:理解JavaScript ...
- 20145328《网络对抗》Web基础
先提交 转载于:https://www.cnblogs.com/rebrust/p/6867013.html
- 2018-2019-2 网络对抗技术 20165322 Exp8 Web基础
2018-2019-2 网络对抗技术 20165322 Exp8 Web基础 目录 实验原理 实验内容与步骤 Web前端HTML Web前端javascipt Web后端:MySQL基础:正常安装.启 ...
- 2017-2018-2 20155314《网络对抗技术》Exp8 Web基础
2017-2018-2 20155314<网络对抗技术>Exp8 Web基础 目录 实验内容 实验环境 基础问题回答 预备知识 实验步骤 1 macOS下Apache的配置 2 macOS ...
- php web 登陆验证和页面控制,# 2019-2020-2 20175308杨元 《网络对抗技术》Exp8 Web基础...
2019-2020-2 20175308杨元 <网络对抗技术>Exp8 Web基础 实践目标及内容 实践内容 (1)Web前端HTML(0.5分) 能正常安装.启停Apache.理解HTM ...
- 20145209刘一阳《网络对抗》Exp8 Web基础
20145209刘一阳<网络对抗>Exp8 Web基础 基础问题回答 1.什么是表单? 表单是一个包含表单元素的区域,表单元素是允许用户在表单中(比如:文本域.下拉列表.单选框.复选框等等 ...
- 2018-2019 20165208 网络对抗 Exp9 Web安全基础
目录 2018-2019 20165208 网络对抗 Exp9 Web安全基础 实验内容 基础问题回答 实践过程记录 1. WebGoat准备 2. SQL注入攻击 2.1 Command Injec ...
最新文章
- ubuntu安装使用不同版本的gcc
- C#中Hashtable、Dictionary详解以及写入和读取对比
- 十三、流程控制之if语句
- js aop 拦载实现
- 源代码提交SOP(Git版)
- c语言上机题库程序设计,C语言上机程序设计题库及答案.docx
- 【PAT Advanced Level】1011. World Cup Betting (20)
- Tyvj P1015 公路骑 (DP)
- 融合智能将成时代方舟?中科创达技术大会向未来答疑
- java小游戏源码_分享几款java小游戏源码
- 实现用python给微信指定联系人在指定时间发送消息(仅供学习)
- 新唐单片机选型手册_Nuvoton新唐8位8051单片机选型指南
- 上海市的某快递公司根据投送目的地距离公司的远近,将全国划分成5个区域: 0区 1区 2区 3区 4区 同城 临近两省 1500公里(含)以内 1500——2500公里 2500公里以上 上海 江苏
- 现代密码学实验5 数字签名ElGamal签名方案
- 保险经纪人是什么鬼?
- VC++ IM即时通讯软件中的剪切板数据对通的实现细节(附源码)
- 跑出数字化升级“加速度”,腾讯云启产业基地“长沙模式”的探索
- 现版孟母三拆与古版孟母三迁有何本质不同?
- 马达监控系统监测电机电压、电流还能做能耗统计,工艺参数监测
- 快趣拼拼团返利模式讲解
热门文章
- spark里的hbase的ImmutableBytesWritable的打印问题scala
- 关于安卓Apk反编译 再编译回来不能正常安装的问题
- Outlook另类小技巧 批量处理图片大小
- Android 使用SWIG生成Jni代码
- linux文件系统体系结构 和 虚拟文件系统(VFS)
- 顺序容器的访问:访问成员函数的返回是引用(和普通数组一样,普通数组的下标返回值也是数组)
- Leetcode题库203.移除链表元素(尾指针填充 / 虚头指针定义 c实现)
- [BUUCTF-pwn]——wustctf2020_getshell
- Struts2 action的单例与多例
- FilterDispatcher is deprecated!