sql注入技術是利用web應用程式和資料庫伺服器之間的介面來篡改**內容的攻擊技術。通過把sql命令插入到web表單提交框、輸入網域名稱框或頁面請求框中,最終欺騙伺服器執行惡意的sql命令。
在這個實驗中,我們使用的web應用程式稱為collabtive。我們禁用collabtive的若干防護措施,這樣我們就建立了乙個容易受到sql注入攻擊的collabtive版本。經過我們的人工修改,我們就可以通過實驗分析許多web開發人員的常見錯誤與疏忽。在本實驗中學生的目標是找到方法來利用sql注入漏洞實施攻擊,並通過掌握的技術來阻止此類攻擊的發生。
sudo mysqld_safe
注意啟動後程式不會退出,可以開啟新的終端執行後續命令。
啟動apache:
配置dns:
訪問測試
使用者名稱:admin;密碼:admin
關閉php配置策略:
sudo vim /etc/php5/apache2/php.ini
把magic_quotes_gpc=on 改為 magic_quotes_gpc = off
檢視登陸驗證檔案:
sudo vim /var/www/sql/collabtive/include/class.user.php
找到其中第375行
這一句就是我們登入時,後台的sql語句;我們可以構造乙個語句,在不知道密碼的情況下登陸;
修改完後重啟一下伺服器:
點選登陸以後,我們就可以繞過密碼直接登入:
《網路攻防技術與實踐》第十一周學習總結
coolfire,中國台灣著名黑客,中國黑客界元老人物。2011年獲得cog資訊保安終身成就獎。他就像乙個大隱隱於市者。雖然通過文字吸引了很多人成為黑客,但他的工作一直與安全無關。他之前甚至還開過商店 賣過電腦,只不過最後生意慘淡關門大吉。如今,coolfire在一家台灣公司做it技術。他所在的公司...
第十一周學習總結
這一周主要是學習數論這一部分,對於這一部分的練習題,我覺得放在其他的練習題裡,我可能會把握不準確是不是應該用數論的知識去解決,因為我在做題的時候,首先想到的是用一種很常規的思路去做,然後可能就是乙個迴圈我覺得就可以解決,但是通常情況下我這樣寫都是錯誤的,比如有乙個題我是想用乙個迴圈,每當我輸入乙個資...
第十一周學習總結
這個作業屬於哪個課程 2020 2021 1資訊保安專業導論 這個作業要求在 這個作業的目標 作業正文 第十五章 給出了區域網的各種拓撲,需要遵守的網路協議,並詳細介紹了網域名稱系統。可以感受到計算機網路的通訊是層次豐富井井有條的。第十六章 介紹了一般的web處理,編寫基本的html文件的基本方法。...