摘要:1.实验后回答问题 (1)SQL注入攻击原理,如何防御 原理:向Web应用程序输入一段精心构造的SQL查询指令,攻击和利用不完善的输入验证机制,使得注入代码得以执行完成非预期的攻击操作。 防范:输入过滤、参数化sql语句或直接使用存储过程、提供更少的错误信息 (2)XSS攻击的原理,如何防御 原理:
阅读全文
posted @ 2019-05-26 13:02
我最酷ccc
阅读(67)
推荐(0)
编辑
摘要:1.基础问题回答 1.1什么是表单 表单是一个包含表单元素的区域,可以收集用户的信息和反馈意见;基本组成部分:表单标签、表单域、表单按钮。 1.2浏览器可以解析运行什么语言。 超文本标记语言:HTML 可扩展标记语言:XML 脚本语言:ASP、PHP、Script、JavaScript、VBScri
阅读全文
posted @ 2019-05-18 11:26
我最酷ccc
阅读(67)
推荐(0)
编辑
摘要:1.实践的目标 理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。具体实践有 (1)简单应用SET工具建立冒名网站 (1分) (2)ettercap DNS spoof (1分) (3)结合应用两种技术,用DNS spoof引导特定访问到冒名网站。(1.5分) (4)请勿使用外部网站做
阅读全文
posted @ 2019-05-03 14:44
我最酷ccc
阅读(67)
推荐(0)
编辑
摘要:1.实践目标 掌握信息搜集的最基础技能与常用工具的使用方法。 2.实践内容 2.1 各种搜索技巧的应用 2.1.1 Netcraft查询 Netcraft这个网站可以查询到特定网站的IP地址,以weibo.com为例; 我们可以看到主机信息——linux操作系统,weibo的服务器; 我针对这个IP
阅读全文
posted @ 2019-04-27 07:58
我最酷ccc
阅读(161)
推荐(0)
编辑
摘要:1.实验要求 一个主动攻击实践,ms08_067; 一个针对浏览器的攻击,MS11-003(唯一); 一个针对客户端的攻击,adobe_toolbutton; 成功应用任何一个辅助模块Ipidseq(唯一)。 2.实验过程 2.1一个主动攻击实践,ms08_067 2.1.1在攻击机kali输入ms
阅读全文
posted @ 2019-04-14 21:58
我最酷ccc
阅读(160)
推荐(0)
编辑
摘要:1.实践目标 监控你自己系统的运行状态,看有没有可疑的程序在运行。 分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。 假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统监控看能不能找到可疑对
阅读全文
posted @ 2019-04-07 21:07
我最酷ccc
阅读(75)
推荐(0)
编辑
摘要:一、实践基本内容 1.实践目标 (1) 正确使用msf编码器(√),msfvenom生成如jar之类的其他文件(√),veil-evasion(√),加壳工具(√),使用shellcode编程(√) (2)通过组合应用各种技术实现恶意代码免杀(√) (如果成功实现了免杀的,简单语言描述原理,不要截图
阅读全文
posted @ 2019-03-30 20:27
我最酷ccc
阅读(143)
推荐(0)
编辑
摘要:Exp2 后门原理与实践 任务一:使用netcat获取主机操作Shell,cron启动 1.windows获取linux shell 1.1 ipconfig 查看本机查看以太网适配器(8)的ipv4地址 1.2windows: ncat.exe -l -p 4325 调用ncat.exe程序来蹲守
阅读全文
posted @ 2019-03-22 19:47
我最酷ccc
阅读(185)
推荐(0)
编辑
摘要:前言:实验中用到的知识 JE:条件转移指令,如果相等则跳转; JNE:条件转移指令(等同于“Jump Not Equal”),如果不相等则跳转; JMP:无条件跳转指令。无条件跳转指令可转到内存中任何程序段。转移地址可在指令中给出,也可以在寄存器中给出,或在存储器中指出; NOP:“空指令”。执行到
阅读全文
posted @ 2019-03-16 22:28
我最酷ccc
阅读(115)
推荐(0)
编辑