2019-2020-2 20175326李一潇《网络对抗技术》 Exp9 Web安全基础 一、实验内容 SQL注入攻击 命令注入 数字型注入 日志欺骗 字符串型注入 数字型SQL注入 字符串注入 XSS攻击 XSS 钓鱼 存储型XSS攻击 反射型XSS攻击 CSRF攻击 跨站请求伪造 绕过 CSRF ...
分类:
Web程序 时间:
2020-05-27 18:43:22
阅读次数:
88
一、实验目标 理解和应用常用网络攻击技术的基本原理。 二、实验步骤 (一)SQL注入攻击 1.命令注入:Command Injection 原理:命令注入是通过在应用中执行宿主操作系统的命令,来达到破坏目的的一种攻击方式。如果我们的应用程序将不安全的用户输入传递给了系统命令解析器(shell),那么 ...
分类:
Web程序 时间:
2020-05-26 17:58:37
阅读次数:
72
目录 "1.实践内容" "1.1 Web Goat环境搭建" "1.2 SQL注入" "1.3 XSS攻击" "1.4 CSRF攻击" "2.实践问题回答" "(1)SQL注入攻击原理,如何防御" "(2)XSS攻击的原理,如何防御" "(3)CSRF攻击的原理,如何防御" "3.实践总结与体会" ...
分类:
Web程序 时间:
2020-05-25 17:47:40
阅读次数:
91
A注入攻击 A1.SQL注入 原理: 当应用程序将用户输入的内容拼接到SQL语句中,一起提交给数据库执行时,就会产生SQL注入威胁。 判断是否存在SQL注入漏洞语句: and 1=2/and 1=1 SQL注入分类: 数字型 字符型 报错注入 布尔型盲注 基于时间的盲注 宽字节注入: addslas ...
分类:
Web程序 时间:
2020-05-25 16:03:13
阅读次数:
100
[toc] 实验内容 本实践的目标理解常用网络攻击技术的基本原理,做不少于7个题目,共3.5分。包括(SQL,XSS,CSRF)。Webgoat实践下相关实验。 实验后问题回答 SQL注入攻击原理,如何防御 原理:是指在Web应用对后台数据库查询语句处理存在的安全漏洞。也就是,在输入字符串中嵌入SQ ...
分类:
Web程序 时间:
2020-05-23 13:00:32
阅读次数:
92
2019 2020 2 网络对抗技术 20175209 Exp9 Web安全基础 一、实验原理与目的 1. 实验要求 本实践的目标理解常用网络攻击技术的基本原理,做不少于7个题目,共3.5分。包括(SQL,XSS,CSRF)。Webgoat实践下相关实验。 2. 基础问题回答 + SQL注入攻击原理 ...
分类:
Web程序 时间:
2020-05-21 00:26:52
阅读次数:
78
目录 "1.基础知识与实验准备" "2.SQL注入攻击" "3.XSS攻击" "4.CSRF攻击" "5.问题回答" "6.实验总结与感想" 1.基础知识与实验准备 1.1 基础知识 SQL注入 原理:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶 ...
分类:
Web程序 时间:
2020-05-20 12:32:56
阅读次数:
91
2019-2020-2 『网络对抗技术』Exp9:Web安全基础 基础问题回答 实践过程记录 WebGoat安装 SQL注入攻击 1.命令注入(Command Injection) 2.数字型注入(Numeric SQL Injection) 3.日志欺骗(Log Spoofing) 4.SQL 注 ...
分类:
Web程序 时间:
2020-05-19 20:17:25
阅读次数:
68
$ 取完值以后直接拼接到sql语句后面去,相当于字符串的拼接,造成sql注入攻击,安全性问题 # 相当于preparedStatement, ???? 不会造成sql注入攻击,比较安全 List<PersonBean> getByCondition3(@Param("name") String na ...
分类:
其他好文 时间:
2020-05-15 20:18:50
阅读次数:
67
总体指导思想是前后端分离,后端同事提供线上API数据查询接口或websocket接口,前端同事负责处理获取到的数据、编写展示的页面、实现用户交互;前后端都要考虑web开发的安全性问题,表单提交到数据库前对用户的输入进行转义、登录避免明文传输密码等。前后端都要关注SQL注入攻击、跨站脚本攻击、跨站请求 ...
分类:
其他好文 时间:
2020-05-11 18:51:11
阅读次数:
60