摘要:
1.实践内容 1.1 Web浏览器的技术发展与安全威胁 1.1.1现代Web浏览器的基本结构与机理 浏览器的主要组件包括:1. 用户界面:地址栏、书签、收藏夹、后退/前进按钮、搜索框等2. 浏览器引擎:查询及操作渲染引擎的接口3. 渲染引擎:处理并显示请求的内容4. 网络:完成网络调用5. UI后端 阅读全文
摘要:
1.实践内容 Web应用程序安全攻防 1.1 Sql注入简介 Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之一。由于sql语句本身的多样性,以及可用于构造sql语句的编程方法很多,因 阅读全文
摘要:
1.实践内容 1.1 实践目标 本次实践的对象是一个名为pwn1的linux可执行文件。 该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。 该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运行的。我们实践的目 阅读全文
摘要:
1.实验介绍 1.1 恶意代码 恶意代码一般指的是对计算机有损害的计算机代码或者web脚本,这些代码或者脚本能使计算机按照攻击者的意图执⾏以达到恶意⽬标。常见的恶意代码包括:病毒(简称病毒)、特洛伊木马(简称木马)、计算机蠕虫(简称蠕虫)、后门、逻辑炸弹等。 1.2 计算机病毒 计算机病毒是编制者在 阅读全文
摘要:
1.实验内容 1.1 使用Metasploit进行Linux远程渗透攻击 任务:使用Metasploit渗透测试软件,攻击Linux靶机上的Samba服务Usermap_script安全漏洞,获取目标Linux靶机的主机访问权限。实践步骤如下:1.启动Metasploit软件,可根据个人喜好使用m 阅读全文
摘要:
1.实验介绍 1.1 Metasploit Metasploit全称The Metasploit Framework,是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击,并且它附带数百个已知软件漏洞的专业级漏洞攻击工具。这个框架高度模块化,即框架由多个module组成 阅读全文
摘要:
1.实验介绍 1.1 防火墙 防火墙是由软件和硬件设备组合而成的一种网络的保护屏障。它是一种计算机硬件和软件的结合,防火墙是基础的网络安全防护设备,实现对外网到数据中心的访问控制,采用白名单机制,默认拒绝所有访问行为通过防火墙,通过配置防火墙安全访问控制策略为用户打通访问链路,防止未经授权的访问进入 阅读全文
摘要:
1.实验介绍 1.1 ARP缓存欺骗攻击 攻击原理:首先ARP是(Address Resolution Protocol)即地址解析协议的简写,ARP协议是根据IP地址获取物理地址的一个TCP/IP协议。在局域网内主机之间的通信是通过物理地址(MAC地址)来完成的,主机在发送信息时会将包含所请求I 阅读全文
摘要:
1.实验介绍 网络嗅探及协议分析是很多网络攻击和分析使用的底层技术,通过嗅探不仅可以掌握网络中的实际情况,还可以查找网络漏洞和检测网络性能,当网络性能出现不平衡或者异常的时候,可以通过网络嗅探以及分析网络流量,把使用抓包工具抓取到的流量数据包,通过软件工具分析等方式,可以找出网络阻塞的来源并解决问题 阅读全文
摘要:
1.实验介绍 为了更加有效的实施攻击,在攻击前或者攻击过程中对目标主机进行探测并收集目标相关网络信息的活动称为网络信息收集。收集的信息包括:目标IP地址、域名、域名注册人、开放的端口号、端口号对应的应用、外部网络拓扑结构等。信息收集一般采用的方式有:利用搜索引擎关键字进行搜索、利用域名管理进行搜索、 阅读全文