摘要:
web安全基础实践 实验后回答问题 1、SQL注入原理,如何防御 SQL注入:就是通过把SQL命令插入到“Web表单递交”或“输入域名”或“页面请求”的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。设计程序中忽略对可能构成攻击的特殊字符串的检查。后台数据库将其认作正常SQL指令后正常执行,可能 阅读全文
摘要:
网络对抗——web基础 实践内容 (1)Web前端HTML (2)Web前端javascipt (3)Web后端:MySQL基础:正常安装、启动MySQL,建库、创建用户、修改密码、建表 (4)Web后端:编写PHP网页,连接数据库,进行用户认证 (5)最简单的SQL注入,XSS攻击测试 实践后问题 阅读全文
摘要:
实践内容 本实践的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。 1、简单应用SET工具建立冒名网站 2、ettercap DNS spoof 3、结合应用两种技术,用DNS spoof引导特定访问到冒名网站。 1.实验后回答问题 (1)通常在什么场景下容易受到DNS spoo 阅读全文
摘要:
实践内容 本实践的目标是掌握信息搜集的最基础技能。 1、各种搜索技巧的应用 2、DNS IP注册信息的查询 3、基本的扫描技术:主机发现、端口扫描、OS及服务版本探测、具体服务的查点 4、漏洞扫描:会扫,会看报告,会查漏洞说明,会修补漏洞 问题回答 哪些组织负责DNS,IP的管理。 全球根服务器均由 阅读全文
摘要:
信息收集 whois、nslookup、dig 用 查询 DNS注册人及联系方式,直接在kali终端输入: ,以下是查询结果,我们可以看到注册的公司,有4个服务器,以及基本的注册省份,传真,电话等信息。 用dig和nslookup查询IP地址的结果: 接着利用搜索引擎查询ip地址的对应具体地理位置: 阅读全文
摘要:
openvas配置步骤 1、 因为老师给的kali中自带的openvas,所以我们可以直接执行命令: 来查看下他的安装状态: 如下图所示:在步骤7中出现错误,其中图片框住的部分是提示如何修改的,显示需要开启 和 所以直接输入命令: 2、修改完毕后,再次执行命令: ,直到出现下面的提示,证明安装成功: 阅读全文
摘要:
实践目标 掌握metasploit的基本应用方式。 具体需要完成(1)ms08_067;(2)ms11_050;(3)Adobe(4)成功应用任何一个辅助模块。 报告 虚拟机:可以找我拷贝(我一般都在图书馆),到时候直接找我就可以。或者可以下载 "这个地址" 里的winXPenSP3.密码:tr1b 阅读全文
摘要:
IE浏览器渗透攻击——MS11050安全漏洞 实验前准备 1、两台虚拟机,其中一台为kali,一台为windows xp sp3(包含IE7)。 2、设置虚拟机网络为NAT模式,保证两台虚拟机可以相互间ping通(关闭靶机防火墙)。 实验步骤: 1、在kali终端中开启msfconsole。 2、输 阅读全文
摘要:
MS08_067漏洞渗透攻击实践 实验前准备 1、两台虚拟机,其中一台为kali,一台为windows xp sp3(英文版)。 2、在VMware中设置两台虚拟机网络为NAT模式,自动分配IP地址,之后两台虚拟机就可以直接ping通。如下图: 如果ping不通,一般是ip地址不在同一个网段上,需要 阅读全文
摘要:
Adobe阅读器渗透攻击 实验前准备 1、两台虚拟机,其中一台为kali,一台为windows xp sp3(老师给的xp虚拟机winxpAttaker,密码:mima1234)。 2、设置虚拟机网络为NAT模式,保证两台虚拟机可以ping通。 3、kali下打开显示隐藏文件,如下图,先打开主文件夹 阅读全文