Exp9:Web安全基础

一、实验内容

  一)、SQL注入攻击

    1、数字型SQL注入(Numeric SQL Injection)

    2、日志欺骗(Log Spoofing)

    3、字符串型注入(String SQL Injection)

    4、数据库后门(Database Backdoors)

  二)、XSS攻击

    1、XSS钓鱼攻击(Phishing With XSS)

    2、存储型XSS攻击(Stored XSS Attacks)

    3、反射型XSS攻击(Reflected XSS Attacks)

  三)、CSRF攻击

    1、跨站请求伪造(Cross Site Request Forgery)

二、实验过程记录

  安装WebGoat

    1、下载webgoat-container-7.0.1-war-exec.jar

    2、在该文件内打开命令窗口,开启Webgoat: java -jar webgoat-container-7.0.1-war-exec.jar 

    

    3、 打开浏览器输入 localhost:8080/WebGoat 

    4、使用root账户登录,如果左侧未出现课程选项,还需安装对应的 JDK,参考这篇简书

    

 

  一)SQL注入攻击

    数字型注入(Numeric SQL Injection)

      原理:查询不同城市的天气情况用的一句SQl语句来查询:SELECT * FROM weather_data WHERE station = ?选择不同城市就会查看对应城市的天气情况,我们通过修改网页代码的option里的value的值,使这里为永真式,就能查看到其他城市的天气情况。

      操作:

      1、选择到数字型注入的课程

      

      2、右键下拉选项框,选择inspter查看源代码

      3、找到select代码,点击前面三角符号展开下面的代码

      4、在第一行的option控件里的value值101后面添加一句代码 or 1=1