2018-2019-2 網絡對抗技術 20165305 Exp 8 Web基礎
1.本實踐的具體要求有:
(1).Web前端HTMLphp
能正常安裝、啓停Apache。理解HTML,理解表單,理解GET與POST方法,編寫一個含有表單的HTML。html
(2).Web前端javascipt前端
理解JavaScript的基本功能,理解DOM。編寫JavaScript驗證用戶名、密碼的規則。java
(3).Web後端:MySQL基礎:正常安裝、啓動MySQL,建庫、建立用戶、修改密碼、建表mysql
(4).Web後端:編寫PHP網頁,鏈接數據庫,進行用戶認證sql
(5).最簡單的SQL注入,XSS攻擊測試數據庫
功能描述:用戶能登錄,登錄用戶名密碼保存在數據庫中,登錄成功顯示歡迎頁面。apache
課題負責人須要完成:登錄後能夠發貼;會話管理。後端
2 報告內容:
2.1基礎問題回答
(1)什麼是表單
表單在網頁中主要負責數據採集功能。一個表單有三個基本組成部分: 表單標籤:這裏麪包含了處理表單數據所用程序的URL以及數據提交到服務器的方法。 表單域:包含了文本框、密碼框、隱藏域、多行文本框、複選框、單選框、下拉選擇框和文件上傳框等。 表單按鈕:包括提交按鈕、復位按鈕和通常按鈕;用於將數據傳送到服務器上的CGI腳本或者取消輸入,還能夠用表單按鈕來控制其餘定義了處理腳本的處理工做。瀏覽器
(2)瀏覽器能夠解析運行什麼語言。
支持HTML(超文本標記語言)、XML(可擴展標記語言)以及Python、PHP、JavaScript、ASP等衆多腳本語言
(3)WebServer支持哪些動態語言
有ASP(ActiveServerPages),JSP(JavaServerPages),PHP(HypertextPreprocessor)等動態語言。
2.2實踐過程記錄
1.Web前端:HTML
1.kali默認已安裝Apache,直接使用service apache2 start命令打開Apache服務便可。如圖所示,若是沒有任何錯誤提示,即代表成功開啓。
此時在瀏覽器輸入127.0.0.1,若是能夠打開Apache的默認網頁,則開啓成功:
2.使用cd /var/www/html進入Apache目錄下,新建一個簡單的含有表單的html文件,內容以下:
在瀏覽器嘗試打開:
2.Web前端:javascipt
1.在原有html文件基礎上,能夠添加一段JavaScript代碼,以完成對用戶是否填寫郵箱和密碼的判斷。
2.在瀏覽器訪問file:///var/www/html/login.html,若是用戶郵箱或密碼未填寫就提交,網頁會報提示:
3.Web後端:MySQL基礎
1.輸入/etc/init.d/mysql start開啓MySQL服務。
2.輸入mysql -u root -p使用root權限進入,默認的密碼是password:
3.使用create database 數據庫名稱;創建數據庫。
4.使用show databases;查看存在的數據庫。
5.使用use 數據庫名稱;使用咱們建立的數據庫:
6.使用create table 表名 (字段設定列表);創建數據庫表,並設置字段基本信息。
7.使用show tables;查看錶信息。
8.使用insert into 表名 values('值1','值2','值3'...);插入數據。
9.使用select * from 表名;查詢表中的數據:
10.在MySQL中增長新用戶,使用grant select,insert,update,delete on 數據庫.* to 用戶名@登陸主機(能夠是localhost,也能夠是遠程登陸方式的IP) identified by "密碼";指令,這句話的意思是將對某數據庫的全部表的select,insert,update,delete權限授予某ip登陸的某用戶:
11.增長新用戶後,使用新的用戶名和密碼進行登陸:
登陸成功,說明成功增長新用戶。
4.Web後端:編寫PHP網頁
1.在/var/www/html目錄下新建一個PHP測試文件phptest.php,簡單瞭解一下它的一些語法:
2.在瀏覽器網址欄中輸入localhost:80/phptest.php,可看到文件的內容:
在瀏覽器網址欄中輸入localhost:80/phptest.php?a=/etc/passwd,可看到/etc/passwd文件的內容:
3.利用PHP和MySQL,結合以前編寫的登陸網頁進行登陸身份認證,修改後的login.php代碼以下:
4.在瀏覽器輸入127.0.0.1/login.html訪問本身的登陸界面。
5.輸入用戶名和密碼進行認證,成功登陸以下圖所示:
5.最簡單的SQL注入,XSS攻擊測試
1.SQL注入:
用戶名任意輸入,在密碼輸入框輸入' or 1=1#,可登錄成功:
這是由於,輸入的用戶名和咱們的代碼中select語句組合起來變成了select * from users where username='' or 1=1#' and password='',#至關於註釋符,會把後面的內容都註釋掉,而1=1是永真式,因此這個條件永遠成立,因此無論密碼是否輸入正確,都可以成功登錄。
2.XSS攻擊:
將一張圖片放在/var/www/html目錄下,在用戶名輸入框輸入,密碼隨意,就能夠讀取圖片了:
(注意:若是在編寫代碼時,用戶名若是是email類型的須要改寫成txt類型,否則不可以輸入除email類型的。)
2.3實踐總結與體會
本次實踐總的來講仍是比較輕鬆的,對於咱們來講,實踐環境也是比較熟悉的。我主要是在代碼那裏有些地方作了好幾回的修改,花了至關長的一段時間,其餘方面都仍是順利的。
- 1. 20155220 《網絡對抗》Exp 8 Web基礎
- 2. 20155234 《網絡對抗》Exp 8 Web基礎
- 3. 2018-2019-2 網絡對抗技術 20165321 Exp 8 Web基礎
- 4. 2018-2019-2 網絡對抗技術 20165206 Exp 8 Web基礎
- 5. 2018-2019-2 網絡對抗技術 20165231 Exp 8 Web基礎
- 6. 2018-2019-2 網絡對抗技術 20165212 Exp 8 Web基礎
- 7. 2018-2019-2 網絡對抗技術 20165336 Exp 8 Web基礎
- 8. 2018-2019-2 網絡對抗技術 20165329 Exp 8 Web基礎
- 9. 2018-2019-2 20165313 《網絡對抗技術》 Exp 8 Web基礎
- 10. 2018-2019-2 網絡對抗技術 20165305 Exp 9 Web安全基礎
- 更多相關文章...
- • 網站主機 技術 - 網站主機教程
- • XML 相關技術 - XML 教程
- • Java 8 Stream 教程
- • ☆技術問答集錦(13)Java Instrument原理
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 20155220 《網絡對抗》Exp 8 Web基礎
- 2. 20155234 《網絡對抗》Exp 8 Web基礎
- 3. 2018-2019-2 網絡對抗技術 20165321 Exp 8 Web基礎
- 4. 2018-2019-2 網絡對抗技術 20165206 Exp 8 Web基礎
- 5. 2018-2019-2 網絡對抗技術 20165231 Exp 8 Web基礎
- 6. 2018-2019-2 網絡對抗技術 20165212 Exp 8 Web基礎
- 7. 2018-2019-2 網絡對抗技術 20165336 Exp 8 Web基礎
- 8. 2018-2019-2 網絡對抗技術 20165329 Exp 8 Web基礎
- 9. 2018-2019-2 20165313 《網絡對抗技術》 Exp 8 Web基礎
- 10. 2018-2019-2 網絡對抗技術 20165305 Exp 9 Web安全基礎