摘要:
一、基础问题回答 (1)SQL注入攻击原理,如何防御 原理: 程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,攻击者利用SQL命令欺骗服务器执行恶意的SQL命令,获得某些他想得知的数据。 防御: 就像我们上次做实验对网页登陆的账户做了密码长度的限制,可以限制输入的长度、检查输入变量的数据 阅读全文
摘要:
test 用户名: 密 码: 自动登录 </form function validateLogin(){ var sUserName = document.frmLogin.username.value ; var sPassword = document.frmLogin.password.val 阅读全文
摘要:
一. 实验内容 (1) Web前端HTML:能正常安装、启停Apache。理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML。 (2) Web前端javascipt:理解JavaScript的基本功能,理解DOM。编写JavaScript验证用户名、密码的规则。 (3) W 阅读全文
摘要:
一、实践内容 本实践的目标理解常用网络欺诈背后的原理,以提高防范意识,并提出具体防范方法。具体实践有 (1)简单应用SET工具建立冒名网站 (2)ettercap DNS_spoof (3)结合应用两种技术,用DNS_spoof、QR_code引导特定访问到冒名网站。 二、实践过程 2.1 URL攻 阅读全文
摘要:
一、基础知识回答 1、哪些组织负责DNS,IP的管理。 DNS管理机制 • 全球根服务器均由美国政府授权的ICANN统一管理,负责全球的域名根服务器、DNS和IP地址管理。全球根域名服务器:绝大多数在欧洲和北美(全球13台,用A~M编号),中国仅拥有镜像服务器(备份) • 全球一共有5个地区性注册机 阅读全文
摘要:
【实践要求】 1.一个主动攻击,如ms08_067 2.一个针对浏览器的攻击,如ms11_050 3.一个针对客户端的攻击,如Adobe 4.成功应用任何一个辅助模块 【基础知识问答】 用自己的话解释什么是exploit,payload,encode exploit渗透攻击模块,利用发现的安全漏洞对 阅读全文
摘要:
一、实践目标 1.1是监控你自己系统的运行状态,看有没有可疑的程序在运行。 1.2是分析一个恶意软件,就分析Exp2或Exp3中生成后门软件;分析工具尽量使用原生指令或sysinternals,systracer套件。 1.3假定将来工作中你觉得自己的主机有问题,就可以用实验中的这个思路,先整个系统 阅读全文
摘要:
一、问题回答 1. 杀软是如何检测出恶意代码的? [x] 基于特征码的检测 [x] 基于行为的恶意软件检测 2. 免杀是做什么? 就是反病毒(AntiVirus)与反间谍(AntiSpyware)的对立面。 3. 免杀的基本方法有哪些? 加花指令 :就是加入一些花里胡哨的指令来迷惑杀软,让杀软检测不 阅读全文
摘要:
一、简单后门 1、ncat、socat的基础操作 工具介绍: netcat(nc、ncat)是一个底层工具,进行基本的TCP UDP数据收发。常被与其他工具结合使用,起到后门的作用。 socat:类似于Netcat的加强版。 以上两个工具均可以在老师课件主页的附件中下载++https://gitee 阅读全文
摘要:
一、实践目标 1.本次实践的对象是一个名为20154330(原为pwn1)的linux可执行文件。 2.该程序正常执行流程是:main调用foo函数,foo函数会简单回显任何用户输入的字符串。 3.该程序同时包含另一个代码片段,getShell,会返回一个可用Shell。正常情况下这个代码是不会被运 阅读全文