摘要:
Exp9 Web安全基础实践 一、基础问题回答 1. SQL注入攻击原理,如何防御? SQL注入攻击就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意SQL命令的目的。 对于SQL注入攻击的防范,主要还是从代码上入手: 1. 采用预编译语句集Prep 阅读全文
摘要:
Exp8 Web基础 20154328 常城 一、基础问题回答 1. 什么是表单? 表单是一个包含表单元素的区域,表单元素是允许用户在表单中(比如:文本域、下拉列表、单选框、复选框等等)输入信息的元素,表单在网页中主要负责数据采集功能,一个表单有三个基本组成部分:表单标签、表单域、表单按钮; 表单标 阅读全文
摘要:
EXP7 网络欺诈防范 一、实践内容 实践的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。具体实践有 (1)简单应用SET工具建立冒名网站 (2)ettercap DNS_spoof (3)结合应用两种技术,用DNS_spoof、QR_code引导特定访问到冒名网站。 二、实践 阅读全文
摘要:
EXP6 信息搜集与漏洞扫描 1. 实验问题 那些组织负责DNS、IP的管理 答:全球根服务器均由美国政府授权的ICANN统一管理,负责全球的域名根服务器、DNS和IP地址管理。 全球一共有5个地区性注册机构:ARIN主要负责北美地区业务,RIPE主要负责欧洲地区业务,APNIC主要负责亚太地区业务 阅读全文
摘要:
CAL_MSF基础运用 1 实验内容 一个主动攻击,如ms08_067 一个针对浏览器的攻击,如ms11_050 一个针对客户端的攻击,如Adobe 成功应用任何一个辅助模块 2 实验过程记录 1. 主动攻击MS08 067大漏洞 关于MS08 067 MS08 067 漏洞是通过MSRPC ove 阅读全文
摘要:
Exp4 恶意代码分析 一、实践内容 1. 系统运行监控 使用如计划任务,每隔一分钟记录自己的电脑有哪些程序在联网,连接的外部IP是哪里。运行一段时间并分析该文件,综述一下分析结果。目标就是找出所有连网的程序,连了哪里,大约干了什么(不抓包的情况下只能猜),你觉得它这么干合适不。如果想进一步分析的, 阅读全文
摘要:
Exp3 免杀原理与实践 一、基础问题回答 1.杀软是如何检测出恶意代码的? 恶意代码有其特有的特征码,杀软将特征码加入检测库中,当检测到一段代码中具有这样的特征码时就可以判断为恶意代码。 为了防止自身特征码被检测,有些恶意代码使用了免杀加壳软件进行加壳,一些流行的加壳软件已经可以检查出来,如果被这 阅读全文
摘要:
目录 实践内容 实践过程 netcat 基础问题回答 实验心得体会 正文 实践内容 使用netcat和socat、msf meterpreter等工具获得主机权限,并进行一些恶意行为,如监控摄像头、记录键盘输入、截屏等。 详情见实验指导书 实践过程 netcat获取主机操作Shell,cron启动 阅读全文