qq_29687403的博客

Collabtive系统SQL注入实验利用web应用程序和数据库服务器之间的接口，把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。

缓冲区溢出漏洞实验本实验利用缓冲区溢出漏洞，通过修改函数返回地址，实现了获取带有root权限的shell。

SET-UID程序漏洞实验实验简介Set-UID 是Unix系统中的一个重要的安全机制。当一个Set-UID程序运行的时候，它被假设为具有拥有者的权限。例如，如果程序的拥有者是root，那么任何人运行这个程序时都会获得程序拥有者的权限。 本次试验试图理解Set-UID运行机制的原理，并利用这一机制获取root权限。实验内容1.理解Set-UID机制在使用操作系统的过程中，

Collabtive系统XSS攻击实验实验简介跨站点脚本(XSS)是一种常见较弱的web应用程序漏洞,攻击者使用这个漏洞注入恶意代码(例如JavaScript)来攻击受害者的web浏览器。 使用恶意代码,攻击者可以轻松窃取受害者的凭证,例如cookies的访问控制政策(例如：IE同源策略)受雇于浏览器可以保护这些凭证绕过XSS漏洞，利用这种漏洞可能会导致大规模的攻击。预备知识什么是XSSXSS(C

Return-to-libc攻击实验Return-to-libc攻击是一种特殊的缓冲区溢出攻击，通常用于攻击有“栈不可执行”保护措施的目标系统。本实验中我们将用system()地址替换返回地址，用它调用一个root shell。

本实验将会提供一个具有格式化漏洞的程序，我们将制定一个计划来探索这些漏洞以达到任意读写内存的目的。

竞态条件漏洞实验实验简介竞态条件是指多个线程同时访问或者操作同一块数据，运行的结果依赖于不同线程访问数据的顺序。如果一个拥有root权限的程序存在竞态条件漏洞的话，攻击者可以通过运行一个平行线程与漏洞程序竞争，以此改变该程序的行为。 在本实验中学生将利用竞态条件漏洞获得root权限。除了攻击之外，我们还将学习如何制定保护方案抵御该类攻击。

本次实验的目的是了解和体验跨站请求伪造(CSRF或XSRF)攻击。CSRF攻击涉及用户受害者,受信任的网站,恶意网站。受害者与受信任的站点和用户拥有一个活跃的会话同时访问恶意网站。恶意网站注入一个HTTP请求为受信任的站点到受害者用户会话牺牲其完整性。

ShellShock 攻击实验实验简介2014年9月24日，Bash中发现了一个严重漏洞shellshock，该漏洞可用于许多系统，并且既可以远程也可以在本地触发。在本实验中，我们需要亲手重现攻击来理解该漏洞，并回答一些问题。准备工作ShellshockShellshock，又称Bashdoor，是在Unix中广泛使用的Bash shell中的一个安全漏洞，首次于2014年