网络攻防实践实验报告十

最新推荐文章于 2026-05-12 11:55:06 发布
原创 最新推荐文章于 2026-05-12 11:55:06 发布 · 2.2k 阅读 · 20
标签
#网络
本文详述了如何进行SQL注入攻击与防御的实践,包括对SELECT和UPDATE语句的注入,以及XSS跨站脚本攻击的实施,如弹窗、窃取cookies和传播蠕虫。同时,讨论了修复SQL注入漏洞的方法和抵御XSS攻击的策略。

1.实践内容

1.1 实践任务要求

一、SEED SQL注入攻击与防御实验
我们已经创建了一个Web应用程序,并将其托管在www.SEEDLabSQLInjection.com。该Web应用程序是一个简单的员工管理应用程序。员工可以通过此Web应用程序查看和更新数据库中的个人信息。此Web应用程序主要有两个角色:管理员是特权角色,可以管理每个员工的个人资料信息。员工是一般角色,可以查看或更新自己的个人资料信息。完成以下任务:

  • 熟悉SQL语句: 我们已经创建了一个名为Users的数据库,其中包含一个名为creditential的表。该表存储了每个员工的个人信息(例如,eid,密码,薪水,ssn等)。在此任务中,您需要使用数据库来熟悉SQL查询。
  • 对SELECT语句的SQL注入攻击:上述Web应用存在SQL输入漏洞,任务是在不知道密码的情况下登陆该Web应用程序。
  • 对UPDATE语句的SQL注入攻击:通过员工的更新个人界面实施UPDATE语句的SQL注入攻击。
  • SQL对抗:修复上述SQL注入攻击漏洞。

二、SEED XSS跨站脚本攻击实验(Elgg)
为了演示攻击者可以利用XSS漏洞做什么,SEED Lab在预先构建的Ubuntu VM映像中设置了一个名为Elgg的Web应用程序。在本实验中,我们需要利用此漏洞对经过修改的Elgg发起XSS攻击,攻击的最终目的是在用户之间传播XSS蠕虫,这样,无论是谁查看的受感染用户个人资料都将被感染。

  • 发布恶意消息,显示警报窗口:在您的Elgg配置文件中嵌入一个JavaScript程序,以便当另一个用户查看您的配置文件时,将执行JavaScript程序并显示一个警报窗口。
  • 弹窗显示cookie信息:将cookie信息显示。
  • 窃取受害者的cookies:将cookie发送给攻击者。
  • 成为受害者的朋友:使用js程序加受害者为朋友,无需受害者干预,使用相关的工具了解Elgg加好友的过程。
  • 修改受害者的信息:使用js程序使得受害者在访问Alice的页面时,资料无需干预却被修改。
  • 编写XSS蠕虫。
  • 对抗XSS攻击。

1.2 知识拓展

1.2.1 SQL注入的原理

SQL注入攻击是通过操作输入来修改SQL语句,用以达到执行代码对WEB服务器进行攻击的方法。简单的说就是在post/getweb表单、输入域名或页面请求的查询字符串中插入SQL命令,最终使web服务器执行恶意命令的过程。可以通过一个例子简单说明SQL注入攻击。假设某网站页面显示时URL为http://www.example.com?test=123,此时URL实际向服务器传递了值为123的变量test,这表明当前页面是对数据库进行动态查询的结果。由此,我们可以在URL中插入恶意的SQL语句并进行执行。另外,在网站开发过程中,开发人员使用动态字符串构造SQL语句,用来创建所需的应用,这种情况下SQL语句在程序的执行过程中被动态的构造使用,可以根据不同的条件产生不同的SQL语句,比如需要根据不同的要求来查询数据库中的字段。这样的开发过程其实为SQL注入攻击留下了很多的可乘之机。

1.2.2 SQL注入带来的威胁

  • 猜解后台数据库,这是利用最多的方式,盗取网站的敏感信息。
  • 绕过认证,列如绕过验证登录网站后台。
  • 注入可以借助数据库的存储过程进行提权等操作

1.2.3 XSS跨站脚本攻击简介

跨站脚本攻击(XSS),是最普遍的Web应用安全漏洞。 这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。 攻击者可以使用户在浏览器中执行其预定义的恶意脚本,其导致的危害可想而知,如劫持用户会话,插入恶意内容、重定向用户、使用恶意软件劫持用户浏览器、繁殖 XSS蠕虫 ,甚至破坏网站、修改路由器配置信息等。 XSS漏洞可以追溯到上世纪90年代。 大量的网站曾遭受XSS漏洞攻击或被发现此类漏洞,如Twitter、Facebook、MySpace、Orkut、新浪微博和 百度贴吧 。 研究表明,最近几年XSS已经超过 缓冲区溢出 成为最流行的攻击方式,有68%的网站可能遭受此类攻击。
原理:HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(<)被看作是HTML标签的开始,之间的字符是页面的标题等等。当动态页面中插入的内容含有这些特殊字符(如<)时,用户浏览器会将其误认为是插入了HTML标签,当这些HTML标签引入了一段JavaScript脚本时,这些脚本程序就将会在用户浏览器中执行。所以,当这些特殊字符不能被动态页面检查或检查出现失误时,就将会产生XSS漏洞。

2.实践过程

2.1 SEED SQL注入攻击与防御实验

2.1.1 mysql环境与基本SQL语句

在SEED Ubuntu 16.04虚拟机中启动mysql
命令:mysql -u root -p,密码:seedubuntu

根据实验要求,我们要选定Users数据库中的creditential的表。
使用show databases;命令查看所有数据库(命令行的末尾要有分号,以表示一句SQL命令)。


使用Users数据库,命令:use Users;
查看Users数据库中的表,命令:show tables;

可以看到,只有一个表credential。
我们用SQL指令select * from creden

最低0.47元/天 解锁文章
qq_48521772
关注
Windows 10/11 如何快速添加Microsoft KM-TEST环回适配器(附IPV4配置避坑指南)
weixin_29230901的博客
03-22 419
本文详细介绍了在Windows 10/11系统中如何快速安装和配置Microsoft KM-TEST环回适配器,包括IPV4优化设置和常见问题解决方案。通过分步指南和实用技巧,帮助开发者和网络管理员高效搭建本地测试环境,提升网络调试和虚拟化应用的稳定性与性能。
使用命令给电脑添加虚拟网卡和IP
DN金猿的博客
06-06 6908
首先以管理员方式进入CMD命令行;点击“开始”->“管理员方式运行”,输入“cmd”,回车。
Windows11 虚拟 IP 配置填坑记录
最新发布
weixin_54515573的博客
05-12 555
本文记录了在Windows11上配置虚拟IP地址的踩坑过程。作者最初尝试在物理网卡上添加辅助IP,但由于Windows的DAD(重复地址检测)机制导致IP状态始终为"Tentative"而无法使用。经过多次尝试修改注册表、调整子网掩码等方法均告失败后,转而采用Microsoft KM-TEST环回适配器创建虚拟网卡。通过手动安装虚拟网卡驱动、配置IP地址并强制激活网卡,最终成功实现了192.168.100.11和192.168.100.12两个虚拟IP的绑定和使用,解决了Go程序无法绑定
虚拟机虚拟网卡作用
weixin_33834679的博客
10-13 1487
在使用VMware Workstation创建虚拟机时,可以根据需要选择使用哪种虚拟网卡,哪种连接方式。默认有3种:VMnet0(桥接网络)、VMnet1(仅主机网络)和VMnet8(NAT网络),当然可以根据需要添加VMnet2到VMnet7、VMnet9等7个虚拟网卡。 虚拟机网络连接属性的意义: 1、Use bridged networking...
虚拟网卡三种类型
qq_57377057的博客
06-06 5909
桥接就是将主机网卡与虚拟网卡利用虚拟网桥进行通信。 该模式下物理网卡和虚拟网卡的IP地址处于一个网段、子网掩码、网关、DNS等参数相同。 本地物理网卡和虚拟网卡通过VMnet0虚拟交换机进行桥接,虚拟机和主机位于VMnet0这个虚拟交换机的两端,交换机使两端处于同一个网段中。 小结:桥接模式下的主机和虚拟机相当于在同一个局域网内,通过现实主机网卡会自动分发ip给主机,使主机和虚拟机都处于同一个网段,在局域网内,虚拟机作为一台独立的主机可以与局域网内任何一台主机
如何在电脑上创建虚拟网卡
weixin_51402043的博客
10-08 7000
管理添加过时硬件下一页下一页环回适配器
虚拟网卡是什么?教教大家添加虚拟网卡的方法
xitongzhijianet的博客
11-08 1万+
其实虚拟网卡就是通过软件模拟出来的电脑网卡,微软操作系统都具备这一功能。那么下面小编就来教教大家Windows10系统添加虚拟网卡的方法,非常简单。4、在厂商处选择Microsoft,网络适配器处选择【Microsoft Loopback Adapter】选项 ,点击【下一步】。1、按下win + R键,在其中输入:hdwwiz,然后 (enter)。5、通过上面几个步骤的设置后,一块虚拟网卡的安装设置就算是完成了。3、其次选择【网络适配器】,然后点击【下一步】。2、点击下一步即可。
虚拟机网络配置最佳实践
ksn5461378的博客
07-15 1万+
点击 VMware Network Adapter VMnet8 设置虚拟网卡1. 设置静态IP,地址为:192.168.2.1002. 设置子网掩码(默认):255.255.255.0。
vmnet8虚拟网卡是什么?
weixin_44943389的博客
07-01 2556
在 VMware 虚拟化软件(如 VMware Workstation、VMware Fusion)中,虚拟网络适配器用于创建和管理虚拟网络,并提供虚拟机与主机机器以及其他虚拟机之间的网络连接。是 VMware 虚拟网络的默认网络适配器之一,它是一个虚拟的以太网卡。是其中一个默认的适配器。这个适配器通常用于虚拟机与主机机器之间的通信,它提供了一个虚拟的网络环境,使虚拟机可以与主机机器进行网络通信。需要注意的是,具体的虚拟网络配置和虚拟网络适配器的名称可能因使用的虚拟化软件和配置而有所不同。
Windows10系统添加虚拟网卡(Microsoft Loopback Adapter)的方法
热门推荐
zhaikaiyun的博客
05-09 9万+
虚拟网卡相当于在系统中模拟了一个网卡,可以供我们做网络桥接。 1、在【计算机】图标上我们点击右键,紧跟着选择【设备管理器】。在PC图标上点击右键,选择【添加过时硬件】选项。 2、接着大家点选【安装我手动从列表选择的硬件】选项,并且点击【下一步】。 3、其次选择【网络适配器】,然后点击【下一步】。 4、在厂商处选择大家选择Microsoft,网络适配器处我们选择【Microsoft Loopback Adapter】选项,紧接着点击【下一步】。 5、通过上面..
虚拟网卡添加ip
yunduan__的博客
08-02 1111
nmcli connection show 查看网卡是否配置成功。其中ens161就是我们新添加的设备同时这个ens161也是我们。1.进入虚拟机设置添加网卡即网络适配器。vim ifcfg-ens161写配置。5.添加临时ip 重启以后失效。也可以复制然后改变内容即可。1.查看网卡是否添加成功。如果是动态IP那么可以。2.进入系统配置文件。ip ad 查看Ip。
Linux中虚拟网卡是什么?其类型有哪些?
oldboyedu1的博客
01-09 1180
而在Linux操作系统中,网卡驱动中又内含了很多虚拟网卡,那么Linux中虚拟网卡是什么?1、虚拟以太网设备:最常见的虚拟网卡类型之一。通过创建和配置虚拟网卡,可以实现更灵活、安全和高效的网络架构和应用部署方式。在Linux中,虚拟网卡是一种虚拟网络设备,它允许将多个逻辑网络接口映射到单个物理网络接口上。虚拟网卡是网络虚拟化的一部分,用于创建、管理和连接虚拟网络。4、虚拟回环设备:是一个虚拟网卡,用于在本地主机上进行通信回环。Tap设备可以用于实现虚拟私有网络功能,实现虚拟机或容器之间的通信。
虚拟机网卡/网络配置,静态IP配置
MJ的博客
06-20 6650
现在把eth0改为静态IP,注意设置的静态IP地址 ,可取192.168.72.0~192.168.72.255 前缀同网关,192.168.72.0一般是子网IP,192.168.72.2是网关,192.168.72.255是广播IP,故静态IP的末位不能是0,2,255。这里设置了3个虚拟网络(两个主机模式,这两个网络其实都没用到,然后配置了一个NAT模式,默认是动态IP,可以通过。这里设置了两个网卡,一个NAT模式一个主机模式,故进入linux会看到这两个网卡eth0,eth1。
如何虚拟网卡
肖建勇的专栏
09-04 1577
如何虚拟网卡 pro/e安装说明:一、如何虚拟网卡    “我的电脑”--〉“控制面板”--〉“添加删除硬件”--〉“下一步”--〉“下一步”,--〉(“搜索..”等一段时间)--〉“添加新设备”--〉“下一步”--〉“不,我想从列表选择硬件”--〉“网卡”--〉下一步”--〉“制造商”选择“Microsoft”,--〉网卡选择“Microsoft loopback Adapter”--〉下一步”
Win11虚拟网卡启用教程:详细图文步骤
mmoo_python的博客
12-06 5055
如果你在安装或配置过程中遇到任何问题,可以参考本文的常见问题及解决方案部分,或者查阅相关的技术文档和社区支持。在“型号”选项中,选择【Microsoft KM-TEST 环回适配器】,然后点击【下一页】。你可以按【Win + X】组合键,或者【右键】点击任务栏上的【Windows开始徽标】,在打开的隐藏菜单项中选择【运行】。选择【安装我手动从列表选择的硬件(高级)(M)】,然后点击【下一页】。在“常见硬件类型”下,选择【网络适配器】,然后点击【下一页】。点击【完成】按钮,完成虚拟网卡的安装。
win10系统中建立安装虚拟网卡的操作方法
深度说博客
03-09 2万+
说到虚拟网卡可能有不少深度技术系统的用户不是很了解吧。其他,虚拟网卡是一款专注于网络共享的软件,让电脑同时拥有多个IP地址,以便更加方便的管理上网网络。那我们在win 10 正式版电脑如何建立安装虚拟网卡呢,下面深度系统小编就来详细分享具体的操作步骤。 方法如下: 1、点击“此电脑",再点击顶部“计算机”,进入属性。 2、点击“设备管理器”,找到“网络适配器”。 3、双击“网络适配器”,查看网络设备里面有无虚拟网卡。 4、如果没有虚拟网卡,点击“操作”,添加过时硬件。 5、添加硬件向导对话框,点击下一步。
虚拟机网卡说明
weixin_55270891的博客
11-26 1883
工作原理: 桥接模式使得虚拟机的网络接口与物理网络接口连接在一起,就好像虚拟机是网络中的另一台物理计算机一样。效果:虚拟机可以与物理网络中的其他计算机进行通信,就像它们在同一网络中一样。虚拟机可以获得来自物理网络的IP地址,而外部网络也能够直接访问虚拟机。
win10系统怎么创建虚拟网卡
EDDJH_31的博客
09-13 8万+
由于工作原因,下午需要重新在物理机上创建块虚拟网卡。因为不熟悉这一块,就百度了下,但是到选择“厂商”和“型号”这一步,却找不到“Microsoft”对应的型号,经过一番查询才知道win10里“厂商”对应的“型号”发生了变化。下面把具体步骤写下,希望可以帮助向我一样不懂如何创建虚拟网卡的小白。 在win10系统中按下快捷键 win+x 打开设备管理器,如下图     在win10...
Windows添加虚拟环回网卡
行动、坚持。
04-02 3554
win + r打开运行,输入hdwwiz 添加硬件 添加驱动程序 选择适配器(即网卡) 完成硬件添加 查看虚拟网卡 安装完成后,返回”网络和共享中心“,可以看到虚拟环回适配器添加成功,根据自己需要配置IP即可使用。 拟环回适配器添加成功,根据自己需要配置IP即可使用。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值