摘要:
学 号 xxxx 中国人民公安大学 Chinese people’ public security university 网络对抗技术 实验报告 实验四 恶意代码技术 学生姓名 x 年级 x 区队 x 指导教师 x 信息技术与网络安全学院 2020年11月7日 实验任务总纲 2020—2021学年 阅读全文
摘要:
中国人民公安大学 Chinese people’ public security university 网络对抗技术 实验报告 实验二 网络嗅探与欺骗 学生姓名 x 年级 x 区队 x 指导教师 x 信息技术与网络安全学院 2020年11月5日 实验任务总纲 2020-2021 学年 第 一 学期 阅读全文
摘要:
1. DVWA_Brute Force 1. low级别 方法思路: 服务器只是验证了参数Login是否被设置,没有任何的防爆破机制,且对参数username、password没有做任何过滤,存在明显的sql注入漏洞。可采用暴破或sql注入的方式绕过登录。 代码审计(核心部分): <?phpif( 阅读全文
摘要:
3-6-4 PHP之PDO 1.PDO的作用 PDO(php data object)扩展类库为PHP访问数据库定义了一个轻量级的、一致性的接口。 它提供了一个数据访问抽象层,这意味着,不管使用哪种数据库,都可以用相同的函数(方法)来查询和获取数据,能够屏蔽不同数据库之间的差异,使用PDO可用很方便 阅读全文
摘要:
学 号 xxxx 中国人民公安大学 Chinese people’ public security university 网络对抗技术 实验报告 实验一 网络侦查与网络扫描 学生姓名 x 年级 x 区队 x 指导教师 x 信息技术与网络安全学院 2020年10月22日 实验任务总纲 2020-202 阅读全文
摘要:
4-16 SSRF漏洞 1. 漏洞原理 1. 背景: 互联网上很多web应用提供了能向其他服务器(也可以是当前服务器本地)请求获取数据的功能。一般来说,web应用会通过用户指定的URL,去向其他服务器发起请求获取获取图片、文件资源(下载或读取)等。 如:百度识图功能,就是一种典型的服务器向其他服务器 阅读全文
摘要:
4-8 命令注入(命令执行) 命令注入,又称命令执行漏洞。(RCE,remote command execute) 1. 漏洞原理 成因:程序员使用后端脚本语言(如:PHP、ASP)开发应用程序的过程中,虽然脚本语言快速、方便,但也面临着一些问题,如:无法接触底层。如开发一些企业级的应用时需要去调用 阅读全文
摘要:
1-1 nmap 建议使用真实机的nmap进行扫描,如果使用虚拟机中的nmap进行扫描时,网络模式建议使用桥接(如kali虚拟机中自带的nmap),不然会发生一些错误,如在虚拟机NAT模式下跨网段扫描时,发现对方网段主机全部在线,但实际没有。 1. nmap原理 nmap有各种扫描方式,但原理都是通 阅读全文
摘要:
4-9 文件上传漏洞 1. 漏洞原理 文件上传是web应用的必备功能之一,比如:上传头像来显示个性化、上传附件来共享文件、上传脚本来更新网站等。如果服务器配置不当或者没有进行足够的过滤,web用户就可以上传任意文件,包括恶意脚本文件、病毒木马等。这就造成了文件上传漏洞。 文件上传漏洞的具体成因: 服 阅读全文
摘要:
2-2 PNG图片格式详解 1. PNG格式文件简介 PNG(Portable Network Graphics,便携式网络图形),是一种采用无损压缩算法的位图格式。其设计目的是试图替代GIF和TIFF文件格式,同时增加一些GIF文件格式所不具备的特性。一般应用于JAVA程序、网页或S60程序中,原 阅读全文