1、攻击实验报告三天津理工大学计算机与通信工程学院实验报告2015 至 2016 学年 第 一 学期课程名称网络攻击与防御技术学号姓名宁鑫、任永奇专业班级计算机科学与技术1班实验(1 )实验名称实验3 Web攻击与防御实验时间 2015 年11 月 18日 1-2 节主讲教师张健辅导教师张健分组人员及各自完成工作20135608(1)进行SQL注入攻击并记录攻击过程及结果 宁 鑫 (2)使用webshell20135609(3)尝试web服务器的拒绝服务攻击,记录过程及结果 任永奇 (4)其他类型web攻击软件环境WindowsXPenSP3 and Windows XP Professional
2、 and kali20 and OWAP_Broken硬件环境 实验室 PC机实验目的预习要求:了解web的工作原理,熟练掌握SQL语言,熟悉动态网站的工作过程,熟悉web攻击的一般方法。实验目的:掌握web攻击的一般思路和方法。实验内容(应包括实验题目、实验要求、实验任务等)见实验过程实验过程与实验结果(可包括实验实施的步骤、算法描述、流程、结论等)实验方式:自行建立web网站,并进行攻击,获取web服务器的管理员权限。实验要求:(1)进行SQL注入攻击并记录攻击过程及结果自己写的本地网站登录代码: using System; using System.Collections.Generic
3、; using System.Linq; using System.Web; using System.Web.UI; using System.Web.UI.WebControls; using System.Data.SqlClient; using System.Data;namespace sqlInjectionTest.admin public partial class Login1 : System.Web.UI.Page protected void Page_Load(object sender, EventArgs e) protected void btnLogin_C
4、lick(object sender, EventArgs e) using (SqlConnection con = new SqlConnection(Integrated Security=SSPI;Persist Security Info=False;Data Source=.SQLEXPRESS;Initial Catalog=Manage) con.Open(); if (ConnectionState.Open=con.State) /Response.Write(alert(连接数据库成功!); string username = tb_Name.Text.Trim().To
5、String(); string password = tb_PassWord.Text.Trim().ToString(); string sql_cmd =select * from Admin where Name=+username+ and Pwd=+password+; using (SqlCommand cmd = new SqlCommand() cmd.CommandText = sql_cmd; cmd.Connection = con; using (SqlDataReader reader = cmd.ExecuteReader() if (reader.Read()
6、/Response.Write(alert(登录成功!); SessionUS = username; Response.Redirect(./LoginIndex.aspx); else Response.Write(alert(登录失败!); reader.Close(); else Response.Write(alert(连接数据库失败!); 攻击完成!(2)使用webshell输入inurl:asp?id=寻找注入点,搜索。检索:网站后台: 解密:输入后结果:(3)尝试web服务器的拒绝服务攻击,记录过程及结果没有做成功。(4)其他类型web攻击(自己写的代码网站攻击)XSS攻击:Jsp代码: Insert title here Welcome 测试结果:XSS跨站攻击被IE8阻止掉了,修改IE的安全级别设置:“启用XSS筛选器”改为“禁用”,这样XSS攻击就能成功了:
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1