2019-2020-2 网络对抗技术 20175227张雪莹 Exp8 Web基础

标签：tps   服务   认证   cas   站点   git   php   响应   type   

目录

• 基础知识
• 实验内容
  • Web前端HTML
  • Web前端javascipt
  • Web后端：MySQL基础
  • Web后端：编写PHP网页
  • 最简单的SQL注入，XSS攻击测试
• 老师提问
  • 什么是表单
  • 浏览器可以解析运行什么语言
  • WebServer支持哪些动态语言
• 所遇到的问题及其解决方法
• 实验感想
• 参考资料

基础知识

Web前端

• 编程语言：

  • html

    指的是超文本标记语言 (Hyper Text Markup Language)，不是一种编程语言，而是一种标记语言，并使用标记标签来描述网页。

    • 格式为 内容 标记名称>

  • 重要部件：表单

    表单是一个包含表单元素的区域。
    表单元素是允许用户在表单中输入内容,比如：文本域(textarea)、下拉列表、单选框(radio-buttons)、复选框(checkboxes)等等。

    • 表单使用表单标签
      来设置，一般形式：
      表单属性

  • css

    层叠样式表Cascading Style Sheets)：一种用来表现HTML（标准通用标记语言的一个应用）或XML（标准通用标记语言的一个子集）等文件样式的计算机语言。

    • 样式：
    1. 浏览器缺省设置
    2. 外部样式表
    3. 内部样式表（位于 标签内部）
    4. 内联样式（在 HTML 元素内部）

  • javascript(js)

    是属于 HTML 和 Web 的编程语言，编程令计算机完成需要它们做的工作。

    • 格式：

• 运行环境：浏览器

• 编程用途：在浏览器内部的动态，美观展示形式

• 重要部件：表单

  • 是一个包含表单元素的区域。
  • 表单元素是允许用户在表单中输入内容,比如：文本域(textarea)、下拉列表、单选框(radio-buttons)、复选框(checkboxes)等等。
  • 表单使用表单标签
    来设置:

WebServer

• 理解其功能：工作目录+文件+http收发

  HTTP(超文本传输协议)：运行在TCP之上。它指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。请求和响应消息的头以ASCII码形式给出。

• 首先掌握Apache的基本操作,安装、启停

• 配置修改（如监听端口）

Web后端

• 编程语言：PHP/JSP/.NET...
• 运行环境：应用服务器/中间件
• 编程用途：对前端提交的数据进行处理并返回相应的HTML网页内容
• 具体操作：
  • 通过用户输入——表单

    • 尝试使用GET/POST方法传输用户在浏览器中的输入

      GET方法：前端参数在URL中传递至后端
      POST方法：前端参数封装在数据包中传递至后端

    • 并在后台用PHP读出参数，

  • 输入HTML（CSS JS)：PHP的输出是一个HTML格式的文件
    • 根据讲出参数的不同，返回不同的内容给浏览器。

数据库编程

• 编程语言：PHP/JSP/.NET相应的库，SQL语言
• 运行环境：数据库服务器
• 编程用途：基本的数据增、删、改、查
• 具体操作:
  • MySql的安装、启停
  • MySql客户端登陆
  • 在MySql客户端中练习基本SQL操作：建库、建表、数据增、删、改、查
  • 在PHP中调用MySql库进行相应数据库操作

返回目录

实验内容

Web前端HTML

• 要求：能正常安装、启停Apache。理解HTML，理解表单，理解GET与POST方法,编写一个含有表单的HTML。
• 步骤：
  • Kali默认安装了Apache（exp7中已经用过了），进入Root权限后使用service apache2 start开启Apache服务，无提示代表开启成功。

• 打开浏览器输入测试地址，若能出现以下页面则表示Apache服务成功开启

• 进入 /var/www/html文件夹，即Apache目录下，用 atom login.html（自己装的编辑器，用vim打开也可）新建含有表单的前端文件。
  • 这里的代码我用的是上学期网络安全编程的基础上进行了修改，需要注意的是网页背景图片需要拷贝到login.html文件的同一文件夹，并更改url为./图片名.jpg。

返回目录

Web前端javascipt

• 要求：理解JavaScript的基本功能，理解DOM。编写JavaScript验证用户名、密码的规则。
• 步骤：

返回目录

Web后端：MySQL基础

• 要求：正常安装、启动MySQL，建库、创建用户、修改密码、建表
• 步骤：

返回目录

Web后端：编写PHP网页

• 要求：连接数据库，进行用户认证
• 步骤：

返回目录

最简单的SQL注入，XSS攻击测试

• 要求：用户能登陆，登陆用户名密码保存在数据库中，登陆成功显示欢迎页面。
• 步骤：

返回目录

老师提问

什么是表单？

• 回答：我们这次用的是两个设置为桥接模式的虚拟机进行实验，这说明在同一局域网下，易受DNS spoof攻击；据之前的学习，在公共网络中也可能遭受该攻击。

浏览器可以解析运行什么语言？

• 回答：
  • 使用入侵检测系统，可以检测出大部分的DNS欺骗攻击
  • 不连陌生且不设密的公共WiFi，给黑客机会
  • 直接使用IP地址访问，对个别信息安全等级要求十分严格的WEB站点尽量不要使用DNS进行解析。

WebServer支持哪些动态语言?

返回目录

所遇到的问题及其解决方法

• 基本没遇到啥问题，攻击不成功通常就重启下SET和ettercap就好了。

返回目录

实验感想

• 通过做这次实验，自己终于体验了一把“久仰大名”的DNS欺骗。DNS欺骗原理简单，就是没想到实现起来也很简单。自己在一些公共场所总是发现并连接一些免费且不设密的WiFi而高兴，其实这样的小便宜不要去占，很容易就被黑客窃取到重要的账户信息。不过在实验中也发现，现在登录密码在网页中进行传输全是以加密形式，相对来说比明文传输要好很多，但是也要提防，毕竟还有密码分析学在那里呢！

返回目录

参考资料

• https://www.jb51.net/hack/378585.html
• https://blog.csdn.net/weixin_45412794/article/details/105861884

返回目录

2019-2020-2 网络对抗技术 20175227张雪莹 Exp8 Web基础

标签：tps   服务   认证   cas   站点   git   php   响应   type   

原文地址：https://www.cnblogs.com/zxy20175227/p/12909575.html