Exercise – SE Technical Boot Camp Hands-on Exercises

最新推荐文章于 2024-11-12 17:05:40 发布
最新推荐文章于 2024-11-12 17:05:40 发布 · 4.5k 阅读 · 0
文章标签:

#功能测试

目的

本练习的目的是展示如何使用ASM来保护web应用程序。首先,您将访问DVWA网站,提交SQL注入、跨站点脚本和强制浏览攻击。然后,您将使用快速部署策略模板创建ASM安全策略,并在事件日志中查看用户请求。在第二个练习中,您将通过调整学习和阻塞设置页面上的设置来添加文件类型强制,生成学习建议,然后手动将文件类型添加到安全策略中。在最后的练习中,您将研究文件类型属性实施,然后您将使用可信请求在自动模式下创建一个新的安全策略,然后您将使用Firefox iMacro生成学习建议,然后您将查看ASM更新参数的属性并修改其实施。

任务一:认识网站漏洞

SQL Injection:

输入 1 ,提交
这一步是为了展示出userid,first name,last name
在这里插入图片描述

输入 $username = 1’ or ‘1’ = '1,提交,这样就可以得到数据库里所有的用户信息
在这里插入图片描述

输入’ and 1=0 union select null, concat(first_name,0x0a,last_name,0x0a,user,0x0a,password) from users #,提交,这样就可以得到user id,first name,last name,user name,以及经过hash加密的password
在这里插入图片描述

注意这里一个username为manly的数据,以这组数据为例,选择它password的hash结果并复制
在这里插入图片描述

可以看到可以被解码出来,如下
在这里插入图片描述

进入dvwa,点击logout
在这里插入图片描述

使用manly/P@ssw0rd!尝试登录,发现登陆成功
在这里插入图片描述

左下角可以看到登录的用户为manly
在这里插入图片描述

SQL注入可以做到对敏感数据的增删改查

Cross-Site Scripting

再dvwa网页点击XSS stored
在这里插入图片描述

创建一个条目:name栏输入Comment
Message栏输入This web site is very useful. It’s helped me understand the vulnerabilities that my web application has. I guess my web developers aren’t as skilled as I thought they were.
点击sign guestbook
我们得到以下效果,这个效果是为了论坛中大家可以留言讨论
在这里插入图片描述

再创建一条攻击条目,name栏输入Attack
Message栏输入
点击Sign guestbook
这事一段javascript代码,网页进行了跳转
在这里插入图片描述

再次点击DVWA书签,使用gordonb/abc123登录
在这里插入图片描述

点击XSS stored,页面仍然跳到了告警页面
在这里插入图片描述

点击OK,点击Home
在这里插入图片描述

再次回到manly用户登录页面,回到XSS stored页面
Name栏输入redirect
Message栏输入
点击sign guestbook
回到gordonb账号,点击XSS stored按钮
在这里插入图片描述

点击OK,在正常页面短暂停留后
在这里插入图片描述

随后就重定向到了黑客设置的网站
在这里插入图片描述

CSS攻击可以让黑客对数据库插入任何形式的代码脚本

任务二:创建rapid deployment安全策略

登录到F5,在ltm里创建irules
random_ip_irule

when CLIENT_ACCEPTED {
set ip_addr [expr int(rand()*223)].[expr int(rand()*255)].[expr int(rand()*255)].[expr int(rand()*254)]
}
when HTTP_REQUEST {
HTTP::header insert X-Forwarded-For $ip_addr
}

将这个irules挂到dvwa_virtual下面
在这里插入图片描述

创建安全策略,输入以下信息,点击create policy
Policy Name lorax_security_policy
Policy Template Rapid Deployment
Virtual Server dvwa_virtual
在这里插入图片描述

点击箭头指向位置
在这里插入图片描述

会跳到改策略的properties页面
在这里插入图片描述

打开advancd,选择xff,下拉点击save
在这里插入图片描述

点击apply policy
在这里插入图片描述

策略部署完成

任务三:查看asm event log
打开dvwa页面,点击SQL Injection页面,输入12,提交
在这里插入图片描述

点击XSS stored,点击ok
在这里插入图片描述

把url改成http://10.1.10.35/php.ini
在这里插入图片描述

点击DVWA书签,点击setup,点击create /reset database,关闭页面
在这里插入图片描述

查看event log,由于irule和trust xff header设置,这里可以看到访问请求时来自全球各地的
在这里插入图片描述

https://www.cnblogs.com/lexus/archive/2012/02/21/2360944.html
在这里插入图片描述

一共有九个header
在这里插入图片描述

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/105.0.0.0 Safari/537.36

Mozilla/5.0,参考下面的链接,写的很幽默
https://cloud.tencent.com/developer/article/1932541
Chrome使用了WebKit渲染引擎,想装成Safari,而WebKit呢又伪装自己是KHTML,KHTML呢又是伪装成Gecko的。同一时候全部的浏览器又都宣称自己是Mozilla,于是,Chrome宣称自己是Mozilla/5.0

ASM练习2 Using file type enforcement

进入Security ›› Application Security : Policy Building : Traffic Learning,可以看到有很多条学习建议
在这里插入图片描述
进入Security ›› Application Security : Policy Building : Learning and Blocking Settings
根据下图红框部分进行配置
在这里插入图片描述
然后将Enforcement Mode改回Transparent
点击save,点击apply policy,点击ok
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

任务二 更新安全策略的学习建议

打开无痕模式窗口,点击DVWA书签,使用gordonb/abc123登录进去
点击user policy
在这里插入图片描述
然后点击main DVWA page
在这里插入图片描述
依次点击1、2、3
在这里插入图片描述
将url改成http://10.1.10.35/php.ini
在这里插入图片描述
将url改成http://10.1.10.25/README.md
关闭页面
在这里插入图片描述
查看学习进度(筛选针对php的illegal file type)
learning score为10%
一共生成两条建议

在这里插入图片描述
查看学习进度(筛选针对md的illegal file type)
learning score为5%
一共生成一条建议在这里插入图片描述

任务三 调整策略学习速度

进入learning and blocking页面
翻到底部,按照如下配置:
保存并应用策略
在这里插入图片描述
打开无痕窗口,使用gordonb/abc123登录,
依次点击user policy,main DVWA,instructions,DVWA Security, About,关闭页面
等待至少20s
再次打开无痕窗口,使用gordonb/abc123登录
依次点击user policy,main DVWA page,setup,Logout
将url改成http://10.1.10.25/README.md,点击回车,关闭页面
等待至少20s
再次打开无痕窗口,使用gordonb/abc123登录
依次点击user policy,main DVWA page,关闭页面
在配置页面打开Traffic learning页面

筛选出针对php的illegal file type,
learning score为100%
一共十条建议
在这里插入图片描述
筛选出针对md的illegal file type,
learning score为20%
一共两条建议
在这里插入图片描述

任务四 手动添加文件类型

选择应用允许的文件类型并添加到 lorax_security_policy 策略中

-筛选针对php的illegal file type
-在右侧选择Related Suggestions-Suggestions with the same violation
在这里插入图片描述
这样完美就可以看到所有文件类型的学习建议,我们需要更多的流量来观察learning score是如何被影响的

-点击open filter(放大镜),选择advanced filter,如下配置,点击apply filter
在这里插入图片描述
我们可以看到有如下这么多文件类型的学习建议
在这里插入图片描述点击全选,我们可以看到学习建议都是add file type(根据自己的环境来)
在这里插入图片描述
点击Accept Suggestions,我们可以看到有两个选项
Accept Suggestions:按照Action编辑策略
Accept Suggextions and enable staging on Matched File Types:接受这些建议,并将它们安排为staging状态

这里我们选择第二个
在这里插入图片描述
再次选择0-24 learning score的学习建议
在这里插入图片描述
选择ignore suggextions,应用策略
如果我们选择了delete suggestion,这些文件类型之后还会再次出现在学习建议里
在这里插入图片描述
进入file type页面,删除*,应用策略
在这里插入图片描述

打开无痕窗口,使用gordonb/abc123登录DVWA
修改url为http://10.1.10.25/php.ini
在这里插入图片描述
我仍然可以打开这个页面
为什么asm仍然允许打开这个非法页面?我认为是这个策略用的是transparent模式,没有拦截策略
在这里插入图片描述
打开日志页面
显示这些请求是非法的
在这里插入图片描述
如何拦截这条请求?我认为需要开启blocking
在这里插入图片描述
改完配置后
在这里插入图片描述

任务五 修改安全策略的Enforcement Mode

修改learning and blocking的enforcement mode为blocking
在这里插入图片描述
访问http://10.1.10.35/pgp.ini
在这里插入图片描述
访问http://10.1.10.25/README.md
在这里插入图片描述
现在可以看到这两个页面都被block了,但是这样的blocking页面太基础,我们可以修改返回页面
进入如下路径,修改reponse pages
在这里插入图片描述
将reponse body改成

<html><head><title>Illegal Request</title></head>
<body>For security purposes, Lorax Investments has blocked this <font color=red>illegal request</font>.<br><br>
You can contact our technical support department and supply them with the following support ID: <b><%TS.request.ID()%></b><br><br><a href='javascript:history.back();'>[Go Back]</a></body></html></body></html>

在这里插入图片描述

点击保存,并应用策略
重新加载http://10.1.10.25/README.md
在这里插入图片描述
进入日志页面,选择最新的/README.md条目,查看明细,我们可以看到除了illegal file type,还有illegal url length和request
length两个原因同时导致页面被block
在attack type中点击buffer overflow,可以看到攻击类型的具体信息
在这里插入图片描述

更新特征库

原始共有3304个特征
在这里插入图片描述
在learning and blocking页面,点击attack signatures,点击change
在这里插入图片描述
选择下面三个特征库,点击change
在这里插入图片描述
保存并应用策略
回到appalication security-attack signatures,现在特征值有7113个
在这里插入图片描述

练习3 建立automatic policy

任务一 enforce 特定的文件类型

打开无痕窗口,使用gordonb/abc123登录
修改url为:
http://10.1.10.35/index.php?A=alksdjfslfjsdlfjsdlfjk&B=lsakdfjskfjsdlfjsflkjdsflkjsdslkfjsfkj&C=askdfslkdfjsdkfjsdlkfjsdkfwiefiskfjis&D=skladfskvjisadfieieakfdkjdsfkdsdsjf&E=vakjeiaskjfsiefsfsafivsidfisaef&F=8324v8fs8v8dsv8dsfs8vsdvisda3r25&G=8kvw8ey5r438nfdfvu34rpoindv8re8we88f&H=232sdofdjswef82weoifjwoifjw323wewefwelifw38ijfwie&I=alksdjfslfjsdlfjsdlfjk&J=lsakdfjskfjsdlfjsflkjdsflkjsdslkfjsfkj&K=askdfslkdfjsdkfjsdlkfjsdkfwiefiskfjis&L=skladfskvjisadfieieakfdkjdsfkdsdsjf&M=vakjeiaskjfsiefsfsafivsidfisaef&n=8324v8fs8v8dsv8dsfs8vsdvisda3r25&N=8kvw8ey5r438nfdfvu34rpoindv8re8we88f&O=232sdofdjswef82weoifjwoifjw323wewefwelifw38ijfwie&P=qwertyuiopasdfghjjklzxcvbnm0987654321232sdofdjswef82weoifjwoifjw323wewefwelifw38ijfwie&q=qwertyuiopasdfghjjklzxcvbnm0987654321232sdofdjswef82weoifjwoifjw323wewefwelifw38ijfwie&Q=qwertyuiopasdfghjjklzxcvbnm0987654321&P=askdfslkdfjsdkfjsdlkfjsdkfwiefiskfjis8324v8fs8v8dsv8dsfs8vsdvisda3r25alksdjfslfjsdlfjsdlfjk&J=lsakdfjskfjsdlfjsflkjdsflkjsdslkfjsfkjaskdfslkdfjsdkfjsdlkfjsdkfwiefiskfjis8324v8fs8v8dsv8dsfs8vsdvisda3r25alksdjfslfjsdlfjsdlfjk&J=lsakdfjskfjsdlfjsflkjdsflkjsdslkfjsfkjaslkdfsalkfjsadwkljweifakdjfaslkdfslmvksdkfiesksdfsdiksdfjsi&R=wieslfjsifsifjsiefjsdlfissijifjeiasifejsaiesaehfwuepewweffwepfwuwieslfjsifsifjsiefjsdlfissijifjeiasifejsaiesaehfwuepewweffwepfwuwieslfjsifsifjsiefjsdlfissijifjeiasifejsaiesaehfwuepewweffwepfwuwieslfjsifsifjsiefjsdlfissijifjeiasifejsaiesaehfwuepewweffwepfwuwieslfjsifsifjsiefjsdlfissijifjeiasifejsaiesaehfwuepewwesajfie83292sddra8

这个请求被正常接受
在这里插入图片描述
查看日志:
这里显示违规情况需要进一步评估
在这里插入图片描述
点击illegal query string length
文件类型为php
detected query string length为1484
expected query string length为1000
在这里插入图片描述
打开allowed file type页面,找到php,点击后面的学习建议
在这里插入图片描述
可以看到这里生成建议,将string length改完2048
这里只是看一下生成的建议,还没有决定要去改掉
在这里插入图片描述
点击ignore suggestions,那么这条学习建议就不会再出现了
在这里插入图片描述
那么query string length默认被设置为1000,但是实际请求长度为1484,大于1000,为什么没有被block呢
点击php前面的复选框,然后点击enforce,然后应用策略
在这里插入图片描述
刷新请求页面,发现请求被block,关闭请求页面
在这里插入图片描述

任务二 根据trusted requests创建automatic policy building

将lorax_security_policy改成automatic learning,指定trusted ip

去dvwa_virtual的vs里把irule(random_ip_irule)去掉,这样访问的源地址就只来自你的客户端本身

到policy list页面,选择lorax_security_policy,点击delete,我们来根据以下信息重新创建一下

Policy Name lorax_security_policy
Policy Template Comprehensive
Virtual Server dvwa_virtual
Application Language Unicode (utf-8)
Trusted IP Addresses 10.1.10.0 / 255.255.255.0 (Click Add)

在这里插入图片描述
在这里插入图片描述
填完点击左上角的create policy

进入learning and blocking页面,将file type,urls,parameters的learn new xxx改成always,parameter level选择url,如下
在这里插入图片描述
在这里插入图片描述
打开trusted ip addresses,可以看到之前创建的trusted ip已经生成
打开loosen policy,tighten policy(stabilize),minimize false positives(track site changes)按照下图修改
在这里插入图片描述
点击保存并应用策略

任务三 创建trusted learning suggestions

使用正常用户流量生成可信学习建议,用于添加文件类型、url和参数
注意:本练习使用两个Firefox宏。确保运行指定的确切宏(boot camp build1.iim or boot camp build2.iim。如果运行了错误的宏,该练习将无法按所配置的方式工作。

boot camp build1.iim:

URL GOTO=http://10.1.10.35/
URL GOTO=http://10.1.10.35/login.php
TAG POS=1 TYPE=INPUT:TEXT FORM=ACTION:login.php ATTR=NAME:username CONTENT=gordonb
TAG POS=1 TYPE=INPUT:PASSWORD FORM=ACTION:login.php ATTR=NAME:password CONTENT=abc123
TAG POS=1 TYPE=INPUT:SUBMIT FORM=ACTION:login.php ATTR=NAME:Login
URL GOTO=http://10.1.10.35/index.php
URL GOTO=http://10.1.10.35/instructions.php?doc=copying
URL GOTO=http://10.1.10.35/instructions.php?doc=PHPIDS-license
URL GOTO=http://10.1.10.35/userpolicy.html
URL GOTO=http://10.1.10.35/index.php
URL GOTO=http://10.1.10.35/login.php?username=admin&password=password#
URL GOTO=http://10.1.10.35/login.php?username=gordonb&password=abc123#
URL GOTO=http://10.1.10.35/vulnerabilities/sqli/?id=1&Submit=Submit#
URL GOTO=http://10.1.10.35/vulnerabilities/xss_r/?name=I+have+a+lot+of+text+to+enter+into+this+field.#
URL GOTO=http://10.1.10.35/vulnerabilities/xss_r/?name=F5+Networks,+401+Elliott+Ave.+W.,+Seattle,+WA+98119#
URL GOTO=http://10.1.10.35/vulnerabilities/xss_r/?name=In+New+York+Slice%2C+each+player+slices+up+pizzas%2C+giving+their+opponents+first+choice%2C+while+they+take+the+leftovers.+There+are+a+dozen+kinds+of+pizza+to+work+with+and+each+player+decides+if+they+want+to+eat+or+keep+slices%2C+building+the+best+pizzas%21+#
URL GOTO=http://10.1.10.35/vulnerabilities/xss_r/?name=%27Some+slices+have+anchovies+on+them+%28yuck%21%29%2C+which+are+worth+negative+points+%E2%80%94+but+anchovies+might+show+up+on+different+pizza+types+you%27re+collecting%2C+so+in+order+to+have+the+majority%2C+you+just+might+have+to+collect+one+with+anchovies+on+it.%27#
URL GOTO=http://10.1.10.35/vulnerabilities/xss_r/?name=I+absolutely+love+this+art+box!+The+bottom+compartment+is+huge.+The+top+flip+up+compartments+are+great%3B+I+didn’t+realize+they+would+be+big+enough+for+pens+and+pencils%2C+so+you+can+put+a+quick+item+or+two+for+your+current+project+in+there+and+not+have+to+go+into+the+box!#
URL GOTO=http://10.1.10.35/vulnerabilities/xss_r/?name=Lid+came+apart+immediately+upon+opening.+Impossible+to+reassemble.+CHEAP+CRAP!+I+had+this+box+in+college+20+years+ago.+Was+solid%2C+sturdy+quality+plastic+for+all+art+supplies.+Save+your+money!+Go+to+a+craft+store%2C+or+better+yet%2C+spend+good+money+at+an+art+store.#
URL GOTO=http://10.1.10.35/logout.php

boot camp build2.iim:

URL GOTO=http://10.1.10.35/
URL GOTO=http://10.1.10.35/login.php
TAG POS=1 TYPE=INPUT:TEXT FORM=ACTION:login.php ATTR=NAME:username CONTENT=gordonb
TAG POS=1 TYPE=INPUT:PASSWORD FORM=ACTION:login.php ATTR=NAME:password CONTENT=abc123
TAG POS=1 TYPE=INPUT:SUBMIT FORM=ACTION:login.php ATTR=NAME:Login
URL GOTO=http://10.1.10.35/login.php?username=admin&password=password#
URL GOTO=http://10.1.10.35/login.php?username=gordonb&password=abc123#
URL GOTO=http://10.1.10.35/index.php
URL GOTO=http://10.1.10.35/instructions.php?doc=copying
URL GOTO=http://10.1.10.35/instructions.php?doc=PHPIDS-license
URL GOTO=http://10.1.10.35/vulnerabilities/xss_r/?name=I+have+a+lot+of+text+to+enter+into+this+field.#
URL GOTO=http://10.1.10.35/vulnerabilities/xss_r/?name=F5+Networks,+401+Elliott+Ave.+W.,+Seattle,+WA+98119#
URL GOTO=http://10.1.10.35/vulnerabilities/xss_r/?name=In+New+York+Slice%2C+each+player+slices+up+pizzas%2C+giving+their+opponents+first+choice%2C+while+they+take+the+leftovers.+There+are+a+dozen+kinds+of+pizza+to+work+with+and+each+player+decides+if+they+want+to+eat+or+keep+slices%2C+building+the+best+pizzas%21+#
URL GOTO=http://10.1.10.35/vulnerabilities/xss_r/?name=%27Some+slices+have+anchovies+on+them+%28yuck%21%29%2C+which+are+worth+negative+points+%E2%80%94+but+anchovies+might+show+up+on+different+pizza+types+you%27re+collecting%2C+so+in+order+to+have+the+majority%2C+you+just+might+have+to+collect+one+with+anchovies+on+it.%27#
URL GOTO=http://10.1.10.35/vulnerabilities/xss_r/?name=I+absolutely+love+this+art+box!+The+bottom+compartment+is+huge.+The+top+flip+up+compartments+are+great%3B+I+didn’t+realize+they+would+be+big+enough+for+pens+and+pencils%2C+so+you+can+put+a+quick+item+or+two+for+your+current+project+in+there+and+not+have+to+go+into+the+box!#
URL GOTO=http://10.1.10.35/vulnerabilities/xss_r/?name=Lid+came+apart+immediately+upon+opening.+Impossible+to+reassemble.+CHEAP+CRAP!+I+had+this+box+in+college+20+years+ago.+Was+solid%2C+sturdy+quality+plastic+for+all+art+supplies.+Save+your+money!+Go+to+a+craft+store%2C+or+better+yet%2C+spend+good+money+at+an+art+store.#
URL GOTO=http://10.1.10.35/logout.php

打开allowed file types
当我们删除并重新创建这个安全策略的时候,我们将会丢失之前添加进来的文件类型
打开新的无痕窗口,点击imacros,点击boot camp build1.iim,然后点击play(Loop)
这个imacros会发出几个web请求,包括SQL injection和XSS reflected页面,等macros完成后,关闭页面

在配置页面,打开traffic learning
这里有关于illegal file type,illegal url,illegal paramemer的学习建议吗?为什么?
答:没有这几个类型的学习建议
因为这几个类型在learnng and blocking配置里被配置为所有类型都列入白名单
在这里插入图片描述
打开allowed file types页面
可以看到很多文件类型被自动列了进来,并且处于staging状态,说明他们并没有被enforced,没有被执行
在这里插入图片描述打开allowed urls页面
有32条allowed urls记录被自动添加进来
在这里插入图片描述打开parameters list页面
也有新的parameters被添加
在这里插入图片描述看一下 parameter value type,这里有ignore value,user-input value,两种类型

现在再次打开一个新的页面,点击imacros里面的boot camp build2.iim,点击play(loop),运行结束时,关闭页面
打开配置页面到allowed file type页面
可以看到有几个类型不再是staging状态,也就是说现在处于enforced状态
注:如果没有状态改变的话,等几秒钟再重新跑一遍imacros在这里插入图片描述打开parameters list,name一项的parameter value type改成了user-input value
目前处于staging状态
在这里插入图片描述20秒后再打开页面运行一遍,运行完成关闭页面,下载name这一项不在是staging状态
在这里插入图片描述点开name这一项,目前我这里maximum length的值为500
正常情况下,运行了boot camp build2.iim几次后,这里的值会是10,当运行次数变多后,这个值将不满足name这一项的长度要求,并且系统会自适应修改这个值,并且状态反复在staging和enforced中跳跃,直到最终变成500
在这里插入图片描述打开value meta character页面,这里可以看到被允许的meta character
在这里插入图片描述name这一项状态处于enforced,maximum length 为500,且meta character有了记录之后,打开learning and blocking页面(否则继续执行boot camp build2.iim),learning mode改成manual,保存并应用策略
在这里插入图片描述打开新的页面,用gordonb/abc123登录dvwa,点击xss reflected,输入以下内容并提交
This is a very cute Rocket Ship projection alarm clock. It is 100% attractive sitting on my dresser.
The Rocket Ship reminds me of the rockets in TV and movies and books from the 50’s. Rocket alarm clock
projects the time and four different NASA images on the ceiling or wall. There are four NASA space
images to choose from: “man on the Moon”, “earth”, “Moon” and “space shuttle”. The top of the clock
rotates and pivots allowing the time and image to project anywhere in the room. Images project up to
30 inches in diameter. Powered by 3 C batteries (not Included) or Included AC adaptor. Children will
love having this rocket ship alarm clock in their bedroom. Alarm button on/off is on the side.

操作被block
在这里插入图片描述查看日志,查看最新的/vulnerabilities/xss_r/的条目,有两个原因导致访问被block
一是value长度大于设定的500
二是解码出来的character %不在允许的meta character里
在这里插入图片描述在这里插入图片描述在第一个illegal parameter value length违规行为,点击后面的view suggestion based on this violation
在这里插入图片描述可以跳转到学习建议页面,这里建议将length改成1000,点击accept suggestion,然后关闭学习建议页面
在这里插入图片描述同样的,接受第二条的学习建议,应用策略并关闭学习建议页面

任务四 测试signature violations

测试ASM是否会block违反特征库特征的请求
打开xss reflected页面,输入以下内容并提交

结果页面被block

打开sql injection,输入以下内容并提交
%’ or 1='1
结果这个sql攻击仍然可以生效

右击页面,点击检查,知道输入框对应的name,这里显示name=id
关闭检查窗口
在这里插入图片描述打开parameter list窗口,为什么name parameter对应的攻击特征被block,id parameter对应的攻击特征没有被block
我认为是因为id parameter处于staging状态
在这里插入图片描述点击id,清除perform staging勾选框
parameter value type 改成user-input value
maximum length 改成25,更新并应用策略
在这里插入图片描述回到攻击页面,ctrl + F5刷新,页面被block

parameter value type:
ignore value:系统不会检查这个parameter的有效性,对于特征,系统不会进行基于parameter的特征检查,但是会进行其他特征检查
就是没法明细这个parameter的特征检查控制了
在这里插入图片描述
json value:这个parameter的值强制执行为json数据
在这里插入图片描述
user-input value:parameter值由用户输入提供,可以自定义下面这些内容
在这里插入图片描述

Chenzsc_note
关注
Cloudera Custom Training: Hands-On Exercises
12-24
Cloudera作为一家知名的开源大数据技术公司,其产品CDH(Cloudera’s Distribution, including Apache Hadoop)是广泛使用的大数据平台。Cloudera提供定制化培训,以帮助开发者和数据工程师掌握使用CDH进行大数据...
Bootcamp-exercises
03-16
"Bootcamp-exercises"这个标题暗示了这是一个与编程训练营相关的练习集,可能源自Appleseeds训练营,一个为学员提供技术教育的平台。 在Web开发中,HTML(HyperText Markup Language)是构建网页的基础,用于定义...
http://www.serverwatch.com/
jazzy_liu的专栏
04-06 1万+
http://www.serverwatch.com/一个很不错的网站,可以方便的搜寻需要的服务器及相关文档.推荐一下
http://www.233.com/teacher/zzhzt/20151029/141808407-2.html 明天要看的
weixin_30824599的博客
08-02 3601
教师资格考试综合素质 转载于:https://www.cnblogs.com/lidepeng/p/7273561.html
1.5-1.8渗透
m0_67784493的博客
03-17 8001
1.指纹识别 2.绕过cdn查找真实ip 3.收集敏感目录文件 4.社会工程学 cms指纹识别 https://www.baidu.com/sf/vsearch?pd=video&tn=vsearch&ct=301989888&rn=20&pn=0&db=0&s=21&rsv_spt=11&word=cms%E6%8C%87%E7%BA%B9%E8%AF%86%E5%88%AB 常见的CMS有Dedecms(织梦)、Discuz、PHPWE.
android for selinux
明风的博客
01-16 2582
NB SEforAndroid 1 Contents [hide] 1Security Enhancements for Android 1.1Introduction 1.1.1Terminology 1.1.2Useful Links 1.1.3Document Sections 1.2SE for Android Project Upda...
http://coffeejp.com/bbs/forum.php?mod=viewthread,问题列表_华泰证券网络路演_新浪网
weixin_33481022的博客
06-07 17万+
游客问:http://keralaartsandcrafts.com/profession.php http://www.coffeecatscoffee.com/personal.php http://www.condorgun.com/pocket.php http://www.clinton-family-dentistry.com/relations.php http://nyvd...
Ajax-advanced-web-developer-bootcamp-notes-examples-and-exercises.zip
09-17
Ajax-advanced-web-developer-bootcamp-notes-examples-and-exercises.zip,例题和练习汇编。来自优秀的高级web开发人员训练营,ajax代表异步javascript和xml。它是多种web技术的集合,包括html、css、json、xml和...
Hands-On Machine Learning with Scikit-Learn, Keras, and TensorFlow 2ed 2019.epub
09-20
With exercises in each chapter to help you apply what you’ve learned, all you need is programming experience to get started. * Explore the machine learning landscape, particularly neural nets * Use...
Hands-On Machine Learning with Scikit-Learn and TensorFlow [EPUB]
03-27
Hands-On Machine Learning with Scikit-Learn and TensorFlow: Concepts, Tools, and Techniques to Build Intelligent Systems by Aurélien Géron English | 2017 | ISBN: 1491962291 | 566 Pages | EPUB | 8.41...
http://www.htsjpt.com/admin.php,webshell/php/xiao.php.txt at f875e7b78085777b8a10c3456478dbd192d851a...
热门推荐
weixin_39980575的博客
03-13 106万+
eval(gzuncompress(base64_decode("eJzsvfl3G8eROP6z/J7/h9GYK4AmiIP3IVDiTUq8RJA6qceHY0BABDDQAOAhW/u/MNpNvLJ2I0qkLoq6SJsUZVEUSUmOnnP4WCeO1slGzsd2rDjvW9XHTA8wACnFye7nky9tkUAf1dXV1dXV1dXViqap2rCmJFUtHU2M2Ku...
HTML教程
qq_66274152的博客
10-08 23万+
HTML教程
javaSE------5.IO流
L15122698902的博客
04-06 1294
1.File 类 1.1 File类概述和构造方法 File 类介绍: 它是文件和目录路径名的抽象表示 文件和目录是可以通过 File封装成对象的 对于 File而言,其封装的并不是一个真正存在的文件,仅仅是一个路径名而已。 它可以是存在的,也可以是不存在的。将来是要通过具体的操作把这个路径的内容转换为具体存在的 File 类的构造方法: File(String pathname) 通过将给定的路径名字符串转换为抽象路径名来创建新的 File实例 File(String parent, String
97php.com,360webscan字典 网站检测 目录漏洞扫描
weixin_28716973的博客
03-19 9万+
360webscan字典360webscan字典委内瑞拉数据泄露/$/%20..%5Cweb-inf/%22%3E%3CsCrIpT%3Eprompt(42873)/%252e%252e%5C%252e%252e%5C%252e%252e%5C%252e%252e%5C%252e%252e%5C%252e%252e%5C%252e%252e%5C%252e%252e%5C%252e%252e%5...
opencv2对直方图的求解以及描述
qq_23880193的专栏
12-17 29万+
这里用类的方式写出: #include #include #include #include #include #include using namespace cv; using namespace std; class HistgramShow { private: Mat ShowHisImage; public: //这个函数仅仅是封装了一下显示函数 void sho
ASMSimple Security Policy Deployments with BIG-IP ASM
my_note的博客
10-13 853
ASMSimple Security Policy Deployments with BIG-IP ASM
附加数据库报错
dengtangda9444的博客
12-24 161
  我在附加数据库的时候出现了这个问题 附加数据库时出错。有关详细信息,请单击“消息”列中的超链接。   于是百度了一下,解决方案如下(1不行你就试试2):   1.在登陆数据库的时候选择windows身份验证登陆   2.把你要附加的数据库文件(mdf和ldf)单机右键,在属性安全里面设置Authenticated Users 的权限为完全控制   如果上述方...
Dbus错误集锦
lx121451的博客
11-12 624
【代码】Dbus错误集锦。
Lab III: HBase Hands-on Exercises
最新发布
03-23
<think>好的,我现在需要帮用户找关于HBase的实际操作练习或实验指导。首先,用户提到了HBase,这是Hadoop生态系统中的一个分布式数据库,适合处理大规模数据。用户的需求很明确,是寻找hands-on的练习和实验指导,可能需要具体的步骤或者教程。 首先,我应该回忆一下常见的资源平台。比如官方文档通常是最权威的,HBase的官网可能有入门指南或者教程。Stanford的课程资料之前用户引用过,可能相关,比如CS 246H提到的Hadoop Lab,但HBase是否包含其中呢?需要确认。 接下来,Apache HBase的官方文档肯定是一个起点。里面通常会有快速入门指南,教用户安装、配置和基本操作。比如创建表、插入数据、扫描查询等,这些基础操作对新手来说很重要。另外,官方可能还提供更高级的实验,比如与MapReduce集成或者性能调优。 然后,GitHub和GitLab这样的代码托管平台有很多开源项目,可能有实验指导或者示例代码。用户可能需要具体的代码示例和步骤,比如用Java API操作HBase,或者与Spark结合使用。搜索关键词比如“HBase lab exercises”或者“HBase hands-on tutorial”应该能找到相关资源。 在线学习平台也是一个来源,比如Coursera、Udemy可能有相关课程,但需要确认是否有免费的部分。例如,Big Data University可能有HBase的实验环境,让用户直接在浏览器中操作,这对没有本地安装环境的用户很方便。 技术博客和社区,比如Cloudera或Hortonworks的博客,经常会发布教程。比如Cloudera的“HBase实操指南”可能涵盖数据建模、性能优化等实际案例。Stack Overflow上也可能有用户分享的实验步骤或问题解决方案。 书籍方面,像《HBase权威指南》这类书可能有配套的实验练习,或者章节后的练习题,用户可以跟着操作。需要确认书籍是否有在线资源或者附录提供实验步骤。 实际应用场景的实验设计,比如用户日志分析或实时数据存储,可以引导用户将HBase应用到实际项目中。比如设计一个用户行为日志存储系统,练习如何设计行键、预分区等,这对理解HBase的实际应用很有帮助。 综合以上资源,我需要整理出几个具体的推荐,确保每个资源都有实际操作的内容,并且来源可靠。同时,要检查用户提供的引用,比如Stanford的课程是否有相关实验,但根据引用[1]和[2],可能主要是Hadoop相关,但HBase作为Hadoop生态的一部分,可能有涉及。不过可能需要更直接指向HBase的资源。 最后,生成相关问题,考虑用户可能的后续问题,比如性能优化、架构设计或者与其他工具集成等,这样能帮助用户深入学习和解决问题。</think>以下是关于HBase实际操作练习和实验指导的推荐资源及学习路径: --- ### 一、官方实验文档 1. **Apache HBase官方快速入门指南** - 包含单机/集群环境搭建、Shell基础操作(建表、插入数据、扫描查询) - 实验示例:通过HBase Shell实现数据CRUD操作 ```bash hbase> create 'test', 'cf' hbase> put 'test', 'row1', 'cf:a', 'value1' hbase> scan 'test' ``` - 官网链接:[HBase Quickstart](https://hbase.apache.org/book.html#quickstart) [^1] 2. **HBase MapReduce集成实验** - 通过`TableMapReduceUtil`类实现HBase与MapReduce的数据处理,例如统计表中行数 - 参考代码模板:[HBase MR Example](https://github.com/apache/hbase/tree/master/hbase-examples/src/main/java/org/apache/hadoop/hbase/mapreduce) [^2] --- ### 二、开源实验项目 1. **GitHub项目:HBase Labs** - 提供完整实验指导,涵盖数据建模(行键设计)、过滤器使用、协处理器开发等 - 实验案例:使用`PrefixFilter`实现按前缀查询数据 - 链接:[HBase-Labs](https://github.com/larsgeorge/hbase-labs) 2. **HBase + Spark实时处理实验** - 通过Spark Streaming读取Kafka数据并写入HBase,实现实时数据存储 - 代码示例参考:[Spark-HBase Connector](https://github.com/hortonworks-spark/shc) --- ### 三、在线课程实验 1. **Big Data University实验环境** - 提供浏览器内直接操作的HBase沙箱环境,无需本地安装 - 实验内容:数据批量导入(通过`ImportTsv`工具)、Phoenix SQL查询集成 - 链接:[BDU HBase Labs](https://bigdatauniversity.com) 2. **Cloudera HBase实操指南** - 实验主题:预分区表设计、Bloom Filter优化查询性能、TTL设置自动过期数据 - 引用案例:通过调整`hbase.hregion.max.filesize`优化Region分裂策略[^3] --- ### 四、综合实验设计建议 1. **用户行为日志存储实验** - 目标:设计高吞吐写入的行键(如`用户ID+时间戳`倒序) - 步骤: - 使用Java API批量插入模拟日志数据 - 通过`PageFilter`实现分页查询 - 统计日志量随时间分布(MapReduce或HBase协处理器) 2. **HBase与Hive集成实验** - 实验内容: - 创建Hive外部表映射HBase数据 - 通过HQL执行复杂分析查询(如JOIN操作) - 对比直接HBase扫描的性能差异 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值