20155220 《網絡對抗》Exp 8 Web基礎
20155220 《網絡對抗》Exp 8 Web基礎
基礎問題回答
實踐內容
1.Web前端HTML
配置環境
- 正常安裝、啟動Apache
- 安裝:
sudo apt-get install apache2
- 啟動:
apachectl start
- 查看端口占用情況:
netstat -aptn
前端編程
我們在/var/www/html目錄下編寫test.html代碼
<html> <head> <title>login</title> </head> <body> <form name=“form” action="20155220.php" method="post"> Username:<input type="text" name="user"><p> Password:<input type="password" name="pw"><p> <input type="submit" value="submit"> </form> </body> </html>
在瀏覽器中打開,如圖:
PHP測試
- 新建一個PHP測試文件vi /var/www/html/20155220.php輸入如下
<?php
$user=($_POST["user"]);
$psw=($_POST["pw"]);
echo "welcome ";
echo $user;
?>
- 然後,我們進入20155220.html,進行登錄,就會跳轉到20155220.php
2.Web前端javascipt
JavaScript是一種廣泛用於客戶端Web開發的腳本語言,常用來給HTML網頁添加動態功能,比如響應用戶的各種操作。
文檔對象模型(Document Object Model,簡稱DOM,是W3C組織推薦的處理可擴展標誌語言的標準編程接口。在網上借鑒了一個編寫驗證用戶名和密碼的規則:用戶名密碼不能為空,密碼長度在6-16之間
<script language="javascript"> function check(Form){ var Username =Form.user.value; var pwd =Form.pw.value; if((Username == "")||(pwd == ""))//如果用戶名為空 { alert("用戶名或密碼不能為空"); return false; } if (pwd.length > 16 || pwd.length < 6) { alert("密碼長度應該在 6 - 16 位"); return false; } Form.submit(); } </script>
修改後的代碼:
<html>
<head>
<title>login</title>
<meta charset="utf-8"/>
<script language="javascript">
function check(form){
var Username =form.user.value;
var pwd =form.pw.value;
if((Username == "")||(pwd == ""))//如果用戶名為空
{
alert("用戶名或密碼不能為空");
return false;
}
if (pwd.length > 16 || pwd.length < 6)
{
alert("密碼長度應該在 6 - 16 位");
return false;
}
form.submit();
}
</script>
</head>
<body>
<form name="form" method="post" action="20155220.php">
Username:<input type="text" name="user"><p>
Password:<input type="password" name="pw"><p>
<input type="button" value="submit" onclick="check(form)">
</form>
</body>
</html>
- 測試結果如下:
3.Web後端,MySQL基礎
- 安裝:
apt-get install mysql
- 啟動
/etc/init.d/mysql start
- 登陸:
mysql -u root -p
默認密碼p@ssw0rd
- 查看基本信息:
show databases;
然後,我們創建一個數據庫TestLogin:
CREATE SCHEMA TestLogin;
輸入
use TestLogin
選擇所創建的數據庫接下來創建一個數據庫表
create table `users`( `userid` int not null comment ‘‘, `username` varchar(45) null comment ‘‘, `password` varchar(256) null comment ‘‘, `enabled` varchar(5) null comment ‘‘, primary key (`userid`) comment ‘‘);
輸入
insert into users(userid,username,password,enabled) values( 1,‘20155220‘,password("20155220"),"TRUE");
,添加信息輸入
select * from users
進行查詢
4. Web後端:編寫PHP網頁,連接數據庫,進行用戶認證
這裏我們修改第二個任務的php文件,使之可以查詢數據庫
測試如下:
5.最簡單的SQL註入,XSS攻擊測試
SQL註入
- 後臺語句:
SELECT username,password FROM users WHERE username=‘‘ and password=(‘‘)
要被變為select username,password from users where username=‘‘ or 1=1#‘ and password=(‘‘)
,在用戶名框中輸入‘or 1=1#
,密碼隨便,可以看到登陸成功
xss攻擊
原理:攻擊者利用網站漏洞(通常這些漏洞是指網站後臺處理程序沒有很好的對用戶輸入進行過濾),輸入可以顯示在頁面上的、對其他用戶造成影響的HTML代碼;由於受害者瀏覽器對目標服務器的信任,當其訪問目標服務器上被註入惡意腳本的頁面後,這段惡意腳本可以順利執行,實現獲取用戶cookie並可以利用用戶身份進行非法操作的目的。
在用戶名輸入框中輸入
<img src="5220.jpg"/>
讀取圖片,圖片和網頁代碼在同一文件夾下結果如圖:
基礎問題回答
(1)什麽是表單
- 表單是一個包含表單元素的區域。
- 表單元素是允許用戶在表單中(比如:文本域、下拉列表、單選框、復選框等等)輸入信息的元素。
(2)瀏覽器可以解析運行什麽語言。
- 超文本標記語言:HTML
- 可擴展標記語言:XML
- 腳本語言:ASP、PHP、Script、JavaScript、VBScript、Perl、Python、ColdFusion、Java、JSP等
(3)WebServer支持哪些動態語言
- ASP,JSP,PHP
實驗感想
雖然在上個學期的課程學習中接觸過網頁編程,但是只是簡單的表格表單的設計,數據庫有初步的了解,並沒有深入的學習,對於php更是未有過接觸,因此本次實驗的代碼還是借鑒了其他同學的。有了代碼,實驗進行的較為順利,經過本次實驗,對腳本對網頁編程的危害有了更一步的認識。
20155220 《網絡對抗》Exp 8 Web基礎