20145207 Exp9 web安全基础实践

Exp9 web安全基础实践

实验后回答问题

（1）SQL注入攻击原理，如何防御

• 攻击原理：修改信息
• 防御：禁止输入

（2）XSS攻击的原理，如何防御

• 攻击原理：看别人的博客，感觉就是强制访问。
• 防御：。。。。。不清楚

（3）CSRF攻击原理，如何防御

没做，不知道

实验总结与体会

指导下完成，就完成个最低标准吧

XSS注入攻击

Stored XSS Attacks

   代码：    <script>
                  alert("Hi");
            </script>

       截图（没法体现学号信息，自己加个水印）：

Reflected XSS Attacks

       代码：http://www.targetserver.com/search.asp?input=<script>alert("Hi");</script>

       截图：

 

Numeric SQL Injection

• 通过注入SQL字符串，在101旁边加上or 1=1：

Database Backdoors

• 实验目的是实现多条SQL语句的注入，在userid中输入101 or 1=1;--
• 试验成功
• 

Database Backdoors 2

• 插入两个SQL语句
• 代码（拷贝的）：101 or 1=1;CREATE TRIGGER myBackDoor BEFORE INSERT ON employee FOR EACH ROW BEGIN UPDATE employee SET email='john@hackme.com'WHERE userid = NEW.userid;
• 实验成功

log Spoofing

• 在用户名中添加hhc%0d%0aLogin Succeeded

• 

• 

盲数字注入（Blind Numeric SQL Injection）

• 存放在pins表中值pin的内容，行号cc_number=1111222233334444，是一个int型

•  

• 最后

•