摘要： 1.实验后回答问题 （1）SQL注入攻击原理，如何防御 原理：向Web应用程序输入一段精心构造的SQL查询指令，攻击和利用不完善的输入验证机制，使得注入代码得以执行完成非预期的攻击操作。 防范：输入过滤、参数化sql语句或直接使用存储过程、提供更少的错误信息 （2）XSS攻击的原理，如何防御 原理： 阅读全文

摘要： 1.基础问题回答 1.1什么是表单 表单是一个包含表单元素的区域，可以收集用户的信息和反馈意见；基本组成部分：表单标签、表单域、表单按钮。 1.2浏览器可以解析运行什么语言。 超文本标记语言：HTML 可扩展标记语言：XML 脚本语言：ASP、PHP、Script、JavaScript、VBScri 阅读全文

摘要： 1.实践的目标 理解常用网络欺诈背后的原理，以提高防范意识，并提出具体防范方法。具体实践有 （1）简单应用SET工具建立冒名网站 （1分） （2）ettercap DNS spoof （1分） （3）结合应用两种技术，用DNS spoof引导特定访问到冒名网站。（1.5分） （4）请勿使用外部网站做 阅读全文

摘要： 1.实践目标 掌握信息搜集的最基础技能与常用工具的使用方法。 2.实践内容 2.1 各种搜索技巧的应用 2.1.1 Netcraft查询 Netcraft这个网站可以查询到特定网站的IP地址，以weibo.com为例; 我们可以看到主机信息——linux操作系统，weibo的服务器； 我针对这个IP 阅读全文

摘要： 1.实验要求 一个主动攻击实践，ms08_067; 一个针对浏览器的攻击，MS11-003（唯一）； 一个针对客户端的攻击，adobe_toolbutton； 成功应用任何一个辅助模块Ipidseq（唯一）。 2.实验过程 2.1一个主动攻击实践，ms08_067 2.1.1在攻击机kali输入ms 阅读全文

摘要： 1.实践目标 监控你自己系统的运行状态，看有没有可疑的程序在运行。 分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽量使用原生指令或sysinternals,systracer套件。 假定将来工作中你觉得自己的主机有问题，就可以用实验中的这个思路，先整个系统监控看能不能找到可疑对 阅读全文

摘要： 一、实践基本内容 1.实践目标 （1） 正确使用msf编码器（√），msfvenom生成如jar之类的其他文件（√），veil-evasion（√），加壳工具（√），使用shellcode编程（√） （2）通过组合应用各种技术实现恶意代码免杀（√） （如果成功实现了免杀的，简单语言描述原理，不要截图 阅读全文

摘要： Exp2 后门原理与实践 任务一：使用netcat获取主机操作Shell，cron启动 1.windows获取linux shell 1.1 ipconfig 查看本机查看以太网适配器（8）的ipv4地址 1.2windows： ncat.exe -l -p 4325 调用ncat.exe程序来蹲守 阅读全文

摘要： 前言：实验中用到的知识 JE：条件转移指令，如果相等则跳转； JNE：条件转移指令（等同于“Jump Not Equal”），如果不相等则跳转； JMP：无条件跳转指令。无条件跳转指令可转到内存中任何程序段。转移地址可在指令中给出，也可以在寄存器中给出，或在存储器中指出； NOP：“空指令”。执行到 阅读全文