20145203盖泽双 《网络对抗技术》实践八：Web基础

20145203盖泽双 《网络对抗技术》实践八：Web基础

1.实践目标

（1）编写Web前端——含有表单的HTML代码。
（2）编写Web前端——javascipt验证用户名、密码的代码，理解JavaScript的基本功能。
（3）Web后端——MySQL基础的安装、启动、建库、创建用户、修改密码、建表。
（4）Web后端——编写PHP网页，连接数据库，进行用户认证。
（5）做出最简单的SQL注入，XSS攻击测试。

2.实验后回答问题

（1）什么是表单

表单在网页中主要负责数据采集功能。有三个基本组成部分： 
	-表单标签：这里面包含了处理表单数据所用CGI程序的URL以及数据提交到服务器的方法。 
	-表单域：包含了文本框、密码框、隐藏域、多行文本框、复选框、单选框、下拉选择框和文件上传框等。 
	-表单按钮：包括提交按钮、复位按钮和一般按钮；用于将数据传送到服务器上的CGI脚本或者取消输入，还可以用表单按钮来控制其他定义了处理脚本的处理工作。

（2）浏览器可以解析运行什么语言。

	超文本语言HTML、可扩展标记语言XML以及多种脚本语言。

（3）WebServer支持哪些动态语言

	PHP、JavaScript等语言

3.实验总结与体会

 	这次实验好难呀，代码编的我眼睛都花了(((φ(◎ロ◎;)φ)))！真心佩服课题负责人天晨。感觉看老师上课弄得挺容易的，果然一涉及到编代码，我就歇菜了，以后还是要多练一练。
 	通过这次实验，我理解了浏览器的工作模式，还会编写简单的浏览器网页了。虽然之前学过一点，但是代码基本没自己编过，这次通过自己对代码的编写和理解，对WEB的结构更清楚了一些。所以收获还是很多的。

4.实践过程记录

（1）Web前端HTML

1、能正常安装、启停Apache。
①安装apache。（老师给的kali中，apache已装好。）

sudo apt-get install apache2
service apache2 start

②查看apache常用的命令。

③修改/etc/apache2/ports.conf 配置文件中apache2的监听端口号。

vi /etc/apache2/ports.conf

④开启apache，并查看端口号，确认监听端口配置成功。

service apache2 start

netstat -aptn

⑤用浏览器打开192.168.52.131:5203,进行测试。

2、理解HTML，理解表单。

HTML是用来描述网页的一种语言。
	-HTML 指的是超文本标记语言 (Hyper Text Markup Language)
	-HTML 不是一种编程语言，而是一种标记语言 (markup language)
	-标记语言是一套标记标签 (markup tag)
	-HTML 使用标记标签来描述网页

表单在网页中主要负责数据采集功能。有三个基本组成部分： 
	-表单标签：这里面包含了处理表单数据所用CGI程序的URL以及数据提交到服务器的方法。 
	-表单域：包含了文本框、密码框、隐藏域、多行文本框、复选框、单选框、下拉选择框和文件上传框等。 
	-表单按钮：包括提交按钮、复位按钮和一般按钮；用于将数据传送到服务器上的CGI脚本或者取消输入，还可以用表单按钮来控制其他定义了处理脚本的处理工作。

3、理解GET与POST方法。

GET和POST是HTTP请求的两种基本方法，两者的区别为：
	-get是从服务器上获取数据，post是向服务器传送数据。
    - get是把参数数据队列加到提交表单的ACTION属性所指的URL中，值和表单内各个字段一一对应，在URL中可以看到。post是通过HTTP post机制，将表单内各个字段与其内容放置在HTML HEADER内一起传送到ACTION属性所指的URL地址。用户看不到这个过程。
    - 对于get方式，服务器端用Request.QueryString获取变量的值，对于post方式，服务器端用Request.Form获取提交的数据。
    - get传送的数据量较小，不能大于2KB。post传送的数据量较大，一般被默认为不受限制。但理论上，IIS4中最大量为80KB，IIS5中为100KB。
    - get安全性非常低，post安全性较高。但是执行效率却比Post方法好。

4、编写一个含有表单的HTML。
①在/var/www/html目录下编写网页文件20145203.html。

②用浏览器打开192.168.52.131:5203/20145203.html，查看自己编写的HTML。

③因为没有编写好20145203.php，所以提交后找不到页面。

（2）Web前端javascipt

1、 理解JavaScript的基本功能。

    JavaScript：一种直译式脚本语言，已经被广泛用于Web应用开发，常用来为网页添加各式各样的动态功能，为用户提供更流畅美观的浏览效果。通常JavaScript脚本是通过嵌入在HTML中来实现自身的功能的。

2、 理解DOM。

	DOM：Document Object Model，文档对象模型，它允许程序和脚本动态地访问和更新文档的内容、结构和样式。要改变页面的某个东西，JavaScript 就需要获得对 HTML 文档中所有元素进行访问的入口。这个入口，连同对 HTML 元素进行添加、移动、改变或移除的方法和属性，都是通过文档对象模型来获得的。

** 3、编写JavaScript验证用户名、密码的规则。**
①在原网页文件中添加javascript代码。

②在浏览器中打开，当输入的账号密码为空或者输入的账号长度不为8时，将会弹出提示错误！

（3）Web后端：MySQL基础与PHP网页

1、正常安装、启动MySQL，完成建库、创建用户、修改密码、建表等操作
①安装MySQL。（老师的kali中已安装）

apt-get install mysql-server mysql-client mysql-workbench

②MySQL的常用命令。

/etc/init.d/mysql start

③开启MySQL服务。

/etc/init.d/mysql start

④进入到MySQL中。初始密码：p@ssw0rd

mysql -u root –p

⑤修改MySQL的密码。

⑥创建新的库表。

⑦在表中添加用户。

2、编写PHP网页
①在/var/www/html目录下编写登陆成功后跳转的页面20145203.php。
②登录失败时页面为：

③登陆成功时页面为：

（4）最简单的SQL注入，XSS攻击测试

1、SQL注入
①在帐号处输入' or 1=1#，密码随便填。登陆成功。

②在帐号处输入';insert into users(userid,username,password,enabled) values(888,'5204',password("20145204"),"TRUE");#，密码随便填。登陆一下！此时在查看数据库，注入成功！

③使用添加的账号密码登陆，登陆成功！

2、XSS攻击
①在帐号处输入<img src="5203.png" />20145203</a>，密码输入正确的密码，登录失败！