摘要：一、基础问题回答 （1）SQL注入攻击原理，如何防御 原理: 程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，攻击者利用SQL命令欺骗服务器执行恶意的SQL命令，获得某些他想得知的数据。 防御： 就像我们上次做实验对网页登陆的账户做了密码长度的限制，可以限制输入的长度、检查输入变量的数据 阅读全文

摘要：test 用户名： 密 码： 自动登录 </form function validateLogin(){ var sUserName = document.frmLogin.username.value ; var sPassword = document.frmLogin.password.val 阅读全文

摘要：一. 实验内容 (1) Web前端HTML：能正常安装、启停Apache。理解HTML，理解表单，理解GET与POST方法,编写一个含有表单的HTML。 (2) Web前端javascipt：理解JavaScript的基本功能，理解DOM。编写JavaScript验证用户名、密码的规则。 (3) W 阅读全文

摘要：一、实践内容 本实践的目标理解常用网络欺诈背后的原理，以提高防范意识，并提出具体防范方法。具体实践有 （1）简单应用SET工具建立冒名网站 （2）ettercap DNS_spoof （3）结合应用两种技术，用DNS_spoof、QR_code引导特定访问到冒名网站。 二、实践过程 2.1 URL攻 阅读全文

摘要：一、基础知识回答 1、哪些组织负责DNS，IP的管理。 DNS管理机制 • 全球根服务器均由美国政府授权的ICANN统一管理，负责全球的域名根服务器、DNS和IP地址管理。全球根域名服务器：绝大多数在欧洲和北美（全球13台，用A~M编号），中国仅拥有镜像服务器（备份） • 全球一共有5个地区性注册机 阅读全文

摘要：【实践要求】 1.一个主动攻击，如ms08_067 2.一个针对浏览器的攻击，如ms11_050 3.一个针对客户端的攻击，如Adobe 4.成功应用任何一个辅助模块 【基础知识问答】 用自己的话解释什么是exploit,payload,encode exploit渗透攻击模块，利用发现的安全漏洞对 阅读全文

摘要：一、实践目标 1.1是监控你自己系统的运行状态，看有没有可疑的程序在运行。 1.2是分析一个恶意软件，就分析Exp2或Exp3中生成后门软件；分析工具尽量使用原生指令或sysinternals,systracer套件。 1.3假定将来工作中你觉得自己的主机有问题，就可以用实验中的这个思路，先整个系统 阅读全文

摘要：一、问题回答 1. 杀软是如何检测出恶意代码的？ [x] 基于特征码的检测 [x] 基于行为的恶意软件检测 2. 免杀是做什么？ 就是反病毒（AntiVirus）与反间谍（AntiSpyware）的对立面。 3. 免杀的基本方法有哪些？ 加花指令 ：就是加入一些花里胡哨的指令来迷惑杀软，让杀软检测不 阅读全文

摘要：一、简单后门 1、ncat、socat的基础操作 工具介绍： netcat（nc、ncat）是一个底层工具，进行基本的TCP UDP数据收发。常被与其他工具结合使用，起到后门的作用。 socat：类似于Netcat的加强版。 以上两个工具均可以在老师课件主页的附件中下载++https://gitee 阅读全文

摘要：一、实践目标 1.本次实践的对象是一个名为20154330（原为pwn1）的linux可执行文件。 2.该程序正常执行流程是：main调用foo函数,foo函数会简单回显任何用户输入的字符串。 3.该程序同时包含另一个代码片段，getShell，会返回一个可用Shell。正常情况下这个代码是不会被运 阅读全文