weixin_41950078的博客

1.0 概述SQL注入是一种代码注入技术，它利用web应用程序和数据库服务器之间接口的漏洞。在将用户输入发送到后端数据库服务器之前，如果在web应用程序中没有正确检查用户输入，就会出现该漏洞。许多网络应用程序从用户那里获取输入，然后使用这些输入来构建SQL查询，这样他们就可以从数据库中获取信息。Web应用程序还使用SQL查询将信息存储在数据库中。这些是web应用程序开发中的常见实践。如果不仔细构建SQL查询，可能会出现SQL注入漏洞。SQL注入是最常见的网络应用攻击之一。在本实验中，我们创建了一

1.0 概述本实验的目的是帮助学生理解跨站点请求伪造(CSRF)攻击。CSRF攻击涉及受害用户、可信站点和恶意站点。受害用户在访问恶意站点时与受信任站点保持活动会话。恶意站点将对受信任站点的HTTP请求注入受害用户会话，从而造成损害。在本实验中，学生将使用CSRF攻击来攻击社交网络应用程序。开源的社交网络应用程序叫做Elgg，它已经安装在我们的虚拟机中了。Elgg有对付CSRF的对策，但是我们为了这个实验室的目的已经关掉了。本实验涵盖以下主题:跨站点请求伪造攻击 CSRF对策:秘密令牌和同站点

1.0 概述本实验的学习目标是让学生通过将他们从课堂上学到的关于漏洞的知识付诸行动，获得关于竞态条件漏洞的第一手经验。当多个进程同时访问和操作相同的数据时，就会出现争用情况，并且执行的结果取决于访问发生的特定顺序。如果一个特权程序有一个竞争条件漏洞，攻击者可以运行一个并行进程来“竞争”特权程序，意图改变程序的行为。在这个实验中，学生们将会得到一个带有竞态条件漏洞的程序；他们的任务是开发一个利用漏洞并获得root权限的方案。除了攻击之外，学生们还将被引导浏览几种可以用来对抗竞态条件攻击的保护方案。学生

目录1.0 概述2.0 实验任务2.1 task1 易受攻击程序2.2 task2 理解堆栈的布局2.3 task3崩溃程序2.4 task4 打印出服务器程序的内存2.5 task5 改变服务器程序的内存2.6 task6将恶意代码注入服务器程序2.7 task7 获取反向shell2.8 task8解决问题1.0 概述C中的printf()函数是用来按照一种格式打印出一个字符串的。它的第一个参数叫做格式字符串，它定义了字符串的格式。格式字符串使用...

目录1.0 前言2.0实验任务2.1关闭对策2.2易受攻击程序2.3 task1找出libc函数的地址2.4 task2 将shell字符串放入内存​2.5 task3利用缓冲区溢出漏洞2.6 task4打开地址随机化2.7 task5 击败shell的对策1.0 前言本实验的学习目标是让学生获得一种有趣的缓冲区溢出攻击变体的第一手经验；这种攻击可以绕过目前在主要Linux操作系统中实施的现有保护方案。利用缓冲区溢出漏洞的一种常见方法是用恶意外壳代码溢出...

1.0 前言本实验的学习目标是让学生通过将他们从课堂上学到的关于缓冲区溢出漏洞的知识付诸实践，获得关于该漏洞的第一手经验。缓冲区溢出被定义为程序试图将数据写入预先分配的固定长度缓冲区边界之外的情况。恶意用户可以利用此漏洞来改变程序的流量控制，从而导致恶意代码的执行。在本实验中，学生将被给予一个具有缓冲区溢出漏洞的程序；他们的任务是开发一个利用漏洞的方案，并最终获得root权限。除了攻击之外，学生将被引导浏览操作系统中已经实现的几种保护方案，以对抗缓冲区溢出攻击。学生需要评估这些方案是否有效，并解释原

1.0 前言2014年9月24日，发现了Bash的一个严重漏洞。昵称为Shellshock的这个漏洞可以利用许多系统，并从远程或本地机器上启动。在这个实验室里，学生们需要研究这种攻击，这样他们就能了解Shellshock的弱点。这个实验的学习目标是让学生对这种有趣的攻击有第一手的经验，了解它是如何运作的，并思考我们能从这种攻击中学到什么。该实验室的第一个版本是在2014年9月29日开发的，也就是袭击被报道的五天之后。这是2014年9月30日在我们计算机安全课上分配给学生的。SEED项目的一个重要任务是迅

目录1.0 前言2.0 实验任务2.1任务1:操纵环境变量2.2任务2:将环境变量从父进程传递给子进程1.0 前言本实验的学习目的是让学生了解环境变量如何影响程式及系统的行为。环境变量是一组动态命名值，可以影响正在运行的进程在计算机上的行为方式。自1979年它们被引入Unix以来，大多数操作系统都使用它们。尽管环境变量影响程序行为，但许多程序员并不清楚它们是如何实现的。因此，如果一个程序使用了环境变量，但是程序员不知道它们被使用了，那么这个程序可能会有漏洞。在这个实验中，学.

How to use VirtualBox to Run SEED Ubuntu VM?首先、安装VirtualBox，地址：https://www.virtualbox.org/wiki/DownloadsStep 1: 在VirtualBox中新建虚拟机Step2:提供名称并选择操作系统类型和版本不要选择Ubuntu(64位)，即使你的机器是64位的。我们预构建的VM是32位的Ubuntu。Step 3: 设置内存大小Step 4: 选择我们提供的预构建的VM文件

目录1.0 什么是CSRF攻击？2.0 CSRF攻击过程3.0 CSRF防范策略3.1 验证HTTP请求头中指定字段3.2 添加校验Token4.0 小结导图1.0 什么是CSRF攻击？ CSRF攻击的全称是跨站请求伪造（ cross site request forgery)，是一种对网站的恶意利用，尽管听起来跟XSS跨站脚本攻击有点相似，但事实上CSRF与XSS差别很大，XSS利用的是站点内的信任用户，而CSRF则是通过伪装来自受信任用户的请求来利用受...

1.0 什么是XSS攻击？ Cross-Site Scripting（跨站脚本攻击）简称 XSS，是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本，使之在用户的浏览器上运行。利用这些恶意脚本，攻击者可获取用户的敏感信息如 Cookie、SessionID 等，进而危害数据安全。1.1 XSS攻击的形式在 HTML 中内嵌的文本中，恶意内容以 script 标签形成注入。 在内联的 JavaScript 中，拼接的数据突破了原本的限制（字符串，变量，方法名等）。 在标签...