摘要:1.SQL注入攻击原理,如何防御? SQL注入攻击就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意SQL命令的目的。 对于SQL注入攻击的防范,我觉得主要还是应该从代码上入手: 采用预编译语句集PreparedStatement,它内置了处理SQL 阅读全文
posted @ 2017-05-18 22:01 20145334赵文豪 阅读(78) 评论(0) 推荐(0) 编辑
摘要:实验问题回答 1.什么是表单 表单在网页中主要负责数据采集功能 一个表单有三个基本组成部分: 表单标签 表单域:包含了文本框、密码框、隐藏域、多行文本框、复选框、单选框、下拉选择框和文件上传框等 表单按钮:包括提交按钮、复位按钮和一般按钮.表单按钮可以用于将数据传送到服务器上的CGI脚本或者取消输入 阅读全文
posted @ 2017-05-08 20:15 20145334赵文豪 阅读(93) 评论(0) 推荐(0) 编辑
摘要:1.实验后回答问题 (1)通常在什么场景下容易受到DNS spoof攻击. 局域网内的攻击,连接公共场所的wifi (2)在日常生活工作中如何防范以上两种攻击方法. 输入个人信息前,仔细检查核对域名是否正确。 使用入侵检测系统 使用防火墙进行保护 dns攻击,我们可以使用IP地址直接访问重要的网站, 阅读全文
posted @ 2017-04-26 13:03 20145334赵文豪 阅读(96) 评论(0) 推荐(0) 编辑
摘要:刘老师您好啊,完完全全自己完成的实验,每一张图都有自己的学号作为水印 1.实验后回答问题 (1)哪些组织负责DNS,IP的管理。 地址支持组织(ASO)负责IP地址系统的管理。 域名支持组织(DNSO)负责互联网上的域名系统(DNS)的管理。 协议支持组织(PSO)负责涉及Internet协议的唯一 阅读全文
posted @ 2017-04-22 20:50 20145334赵文豪 阅读(83) 评论(0) 推荐(0) 编辑
摘要:实践目标 掌握metasploit的基本应用方式 掌握常用的三种攻击方式的思路。 实验要求 一个主动攻击,如ms08_067 一个针对浏览器的攻击,如ms11_050 一个针对客户端的攻击,如Adobe 成功应用任何一个辅助模块 实验问答 用自己的话解释什么是exploit,payload,enco 阅读全文
posted @ 2017-04-16 14:53 20145334赵文豪 阅读(97) 评论(0) 推荐(0) 编辑
摘要:实验内容 schtasks、Sysmon对电脑进行系统检测,并分析。 对恶意软件进行静态分析,直接上传到网上,或者利用peid等软件。 对恶意软件进行动态分析,使用systracer,以及wireshark分析。 实验后回答问题 (1)如果在工作中怀疑一台主机上有恶意代码,但只是猜想,所以想监控下系 阅读全文
posted @ 2017-04-04 13:49 20145334赵文豪 阅读(95) 评论(0) 推荐(0) 编辑
摘要:Shellcode注入 shellcode实际是一段代码,但却作为数据发送给受攻击服务器,将代码存储到对方的堆栈中,并将堆栈的返回地址利用缓冲区溢出,覆盖成为指向 shellcode 的地址 下载安装execstack 完成环境配置 execstack s pwn5303:将堆栈设为可执行状态 ex 阅读全文
posted @ 2017-04-01 20:25 20145334赵文豪 阅读(89) 评论(0) 推荐(0) 编辑
摘要:基础问题回答 (1)杀软是如何检测出恶意代码的? 基于特征码:通过特定数据来识别病毒,通常修改一处就可以免杀。特征码的查找方法:文件中的特征码被我们填入的数据(比如0)替换了,那杀毒软件就不会报警,以此确定特征码的位置。 基于行为:典型的行为如连接恶意网站、开放端口、修改系统文件,典型的“外观”如文 阅读全文
posted @ 2017-03-26 22:31 20145334赵文豪 阅读(64) 评论(0) 推荐(0) 编辑
摘要:实验内容 windows主机与kali虚拟机实现互联互通 使用netcat获取主机操作Shell,cron启动 使用socat获取主机操作Shell, 任务计划启动 使用MSF meterpreter生成可执行文件,利用ncat或socat传送到主机并运行获取主机Shell 使用MSF meterp 阅读全文
posted @ 2017-03-16 20:07 20145334赵文豪 阅读(65) 评论(0) 推荐(0) 编辑
摘要:本次实践的对象是一个名为pwn1的linux可执行文件。 该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。 该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目标就是想办法运行这个代码片段。 阅读全文
posted @ 2017-02-28 23:04 20145334赵文豪 阅读(108) 评论(0) 推荐(0) 编辑