20155235 《網(wǎng)絡(luò)攻防》 實驗八 Web基礎(chǔ)

實驗內(nèi)容

Web前端HTML(0.5分)
能正常安裝、啟停Apache。理解HTML，理解表單，理解GET與POST方法,編寫一個含有表單的HTML。

Web前端javascipt(0.5分)
理解JavaScript的基本功能，理解DOM。編寫JavaScript驗證用戶名、密碼的規(guī)則。

Web后端：MySQL基礎(chǔ)：正常安裝、啟動MySQL，建庫、創(chuàng)建用戶、修改密碼、建表(0.5分)

Web后端：編寫PHP網(wǎng)頁，連接數(shù)據(jù)庫，進(jìn)行用戶認(rèn)證(1分)

最簡單的SQL注入，XSS攻擊測試(1分)

功能描述：用戶能登陸，登陸用戶名密碼保存在數(shù)據(jù)庫中，登陸成功顯示歡迎頁面。

實驗一 Web前端HTML

Apache環(huán)境配置

• apache是kali下的web服務(wù)器，通過訪問ip地址+端口號+文件名稱打開對應(yīng)的網(wǎng)頁。
  
• 輸入命令vi /etc/apache2/ports.conf更改apache2的監(jiān)聽端口號，利用service apache2 start打開apache2；
• 并使用netstat -aptn查看端口號，確認(rèn)apache正確開啟

• 然后利用kali自帶的瀏覽器訪問127.0.0.1:5235（本機地址+設(shè)置的監(jiān)聽端口），可驗證apache已經(jīng)開啟
  
  

  實驗二 編寫一個含有表單的HTML

• 在apache2工作目錄下編寫一個HTML，利用apache2進(jìn)行發(fā)布
• 進(jìn)入apache2的工作目錄/var/www/html，創(chuàng)建并編寫login_test.html文件
• 打開瀏覽器，輸入http://127.0.0.1:5235/login_test.html即可打開
  

• 在網(wǎng)頁上輸入用戶名密碼，提交表單，跳轉(zhuǎn)至NOT FOUND提示網(wǎng)頁，因為只有前端代碼
  

• 繼續(xù)編寫前端代碼，規(guī)定規(guī)則
  

• 測試規(guī)則：
  
  
  測試成功

實驗三 Web后端、MySQL基礎(chǔ)

• 安裝 apt-get install mysql
  
• 啟動mysql /etc/init.d/mysql start
  
• 輸入 mysql -u root -p ，并根據(jù)提示輸入密碼，默認(rèn)密碼為p@ssw0rd進(jìn)入MySQL
  
• 創(chuàng)建一個數(shù)據(jù)庫TestLogin： CREATE SCHEMA TestLogin
  
• 使用創(chuàng)建的數(shù)據(jù)庫 USE TestLogin
  
• 創(chuàng)建數(shù)據(jù)庫表：
  create table `users`(
  `userid` int not null comment '',
  `username` varchar(45) null comment '',
  `password` varchar(256) null comment '',
  `enabled` varchar(5) null comment '',
  primary key (`userid`) comment '');
  
• 輸入 insert into users(userid,username,password,enabled) values( 1,'20155235',password("20155235"),"TRUE"); 添加信息
  
• 可以使用命令show databases；可以查看基本信息
  
• 可以通過如下方式更改密碼：
  輸入 use mysql ;，選擇mysql數(shù)據(jù)庫
  輸入 select user, password, host from user; ，mysql庫中的user表中存儲著用戶名、密碼與權(quán)限
  輸入 UPDATE user SET password=PASSWORD("新密碼") WHERE user='root';
  輸入 flush privileges; ，更新權(quán)限
  輸入 quit 退出
  
• 重新登錄就可以發(fā)現(xiàn)密碼修改成功
  
• 在Mysql中建庫建表，輸入如下
  CREATE SCHEMA 庫表的名稱;
  CREATE TABLE 庫表的名稱.users (
  userid INT NOT NULL COMMENT '',
  username VARCHAR(45) NULL COMMENT '',
  password VARCHAR(256) NULL COMMENT '',
  enabled VARCHAR(5) NULL COMMENT '',
  PRIMARY KEY (userid) COMMENT '');
  
• 向表中添加用戶
  

• 現(xiàn)在再查看信息就可以看到新建表：
  

  php+mysql編寫網(wǎng)頁

• 在 /var/www/html 文件夾下輸入 vim login.html ，編寫登錄網(wǎng)頁
  
• 輸入 vim login.php ，通過php實現(xiàn)對數(shù)據(jù)庫的連接
  
  
• 在瀏覽器中輸入localhost:5235/login.html訪問自己的登陸頁面
  

• 在登錄頁面中輸入數(shù)據(jù)庫中存有的用戶名和密碼并點擊提交進(jìn)行用戶認(rèn)證登錄成功，輸入數(shù)據(jù)庫中沒有的就會認(rèn)證失敗
  
  

實驗四 XSS攻擊

• XSS攻擊：跨站腳本攻擊(Cross Site Scripting)，為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆。故將跨站腳本攻擊縮寫為XSS。XSS是一種經(jīng)常出現(xiàn)在web應(yīng)用中的計算機安全漏洞，它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。比如這些代碼包括HTML代碼和客戶端腳本。攻擊者利用XSS漏洞旁路掉訪問控制——例如同源策略(same origin policy)。這種類型的漏洞由于被駭客用來編寫危害性更大的phishing攻擊而變得廣為人知。對于跨站腳本攻擊，黑客界共識是：跨站腳本攻擊是新型的“緩沖區(qū)溢出攻擊“，而JavaScript是新型的“ShellCode”。
• 進(jìn)行一個簡單的測試，在用戶名輸入框中輸入 <img src="20155235.jpg" />20155235</a> 讀取 /var/www/html 目錄下的圖片:
  
  

問題

什么是表單

表單：可以收集用戶的信息和反饋意見，是網(wǎng)站管理者與瀏覽者之間溝通的橋梁。 表單包括兩個部分：一部分是HTML源代碼用于描述表單（例如，域，標(biāo)簽和用戶在頁面上看見的按鈕），另一部分是腳本或應(yīng)用程序用于處理提交的信息（如CGI腳本）。不使用處理腳本就不能搜集表單數(shù)據(jù)。

瀏覽器可以解析運行什么語言。

HTML（超文本標(biāo)記語言）、XML（可擴(kuò)展標(biāo)記語言）以及Python、PHP、JavaScript、ASP等。

WebServer支持哪些動態(tài)語言

JavaScript、ASP、PHP、Ruby等。

實驗心得

實驗八我做的是真心累啊，因為我所有的實驗報告都是根據(jù)前面的報告改的，就導(dǎo)致我粘貼到博客園時，把我做了一半，一般是實驗六的博客貼了過去，對此我表示特別抱歉，給老師道個歉，比心心。雖然用了我很喜歡的人的圖片，但是我依然要控訴我的虛擬機，又換了好幾個！！！才做出來！！！！

轉(zhuǎn)載于:https://www.cnblogs.com/WYjingheng/p/9075021.html

總結(jié)

以上是生活随笔為你收集整理的20155235 《网络攻防》 实验八 Web基础的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。