版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、计算机专业类课程实验报告课程名称:计算机系统与网络安全技术学院:计算机科学与工程学院专业:信息安全学生姓名:白读四年学号:201005555555指导教师:来说评分:日期:实验六一、实验名称:sql注入攻击实验二、实验目的:(1)掌握sql注入基本手段(2)了解web站点的脆弱性三、实验原理:sql注入是从正常的www端口访问,而且表面看起来跟一般的web页面访问没什么区别,可能被入侵很长时间管理员都不会发觉。相当一部分程序员编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些用户想得知的数据,这就是所谓的sq
2、l injection,即sql注入。四、实验内容:(1) 服务器安装所需软件:编译环境java jdk,数据库mysql,web服务器apache tomcat(2) 设置客户机浏览器,登录服务器。(3) 根据登录页面返回信息,构造攻击字符串作为密码,实施攻击。五、实验环境与设备:1. 两台pc机,一台作为服务器,一台作为客户端。2. pc机安装windowsxp/2000操作系统。3. 服务器安装数据库和web服务器。4. 局域网环境。六、实验方法和步骤:1、配置服务器(1) jdk的安装。安装完成jdk后,需要对环境变量进行设置。例如若安装路径为c:jdk1.6.0(当然其他路径也可以)
3、。a. path变量的设置。在系统变量里找到path变量,选择编辑,在path变量值的最前面加上c:jdk1.6.0bin;。b. 新建:classpath环境变量的设置。在系统变量栏选择新建classpath,将变量值设置为 .; c:jdk1.6.0libtools.jar; c:jdk1.6.0libdt.jar。c. 新建:设置java_home。新建系统环境变量java_home,将变量值设置为c:jdk1.6.0。(2) apache web服务器的安装。安装完成后需要将网站的代码包sqlattack放在webapps目录下。(3) mysql数据库的安装。a. 首先检查本机是否已
4、安装mysql,如果已安装需要先卸载再安装新的mysql数据库(一定要卸载以前安装的版本,否则在输入密码的时候总是会提示输入之前的密码)。由于网站代码中对数据库的访问信息(数据库名称、密码、数据表名称)是事先固定的,所以需要对数据库密码和表按照下述要求统一进行设置。b. 数据库的root password统一设置为gglp。c. 安装完成数据库后安装navicat for mysql,即图形化界面,以方便操作。d. 删除已有连接,新建连接localhost(注意正确输入root口令),数据库sqlattack,以及表userinfo,其中表的字段包括id, name, pwd(注意字段类型、主
5、键设置)。(注意数据库名、表名和字段名的大小写)2配置客户机(1) 如果未实施过sql注入的话,第一步先把ie菜单工具internet选项高级显示友好http错误信息前面的勾去掉。否则不论服务器返回什么错误,ie都只显示为http 500服务器错误,不能获得更多的提示信息。(2) 用浏览器登录web服务器:http:/ip地址:8080/sqlattack/login.jsp(3) 进入登录界面后,进行攻击。(4) 掌握攻击原理后,尝试其他的攻击。提示字符串:aor t=t,为什么?这个字符串使我们的网站登陆校验sql语句出现了什么样的变化,从而完成了攻击?你是否可以构造另外的字符串?七、实验
6、结果和分析:创建账户和密码进行登入:登入成功:机器上设置之后,其他用户可以在局域网内对进行设置后的机器进行随意的访问!由于数据语句设计上的漏洞原本的sql字符串被填为strsql = select * from users where (name = or 1=1) and (pw = or 1=1);实际上运行的sql命令会变成下面这样:strsql = select * from users;所以sql注入攻击成功七、实验结论和总结:1、 sql注入攻击是发生于应用程序之数据库层的安全漏洞。简而言之,是在输入的字符串之中注入sql指令,在设计不良的程序当中忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的sql指令而运行,因此遭到破坏。2、 sql命令可查询、插入、更新、删除等,命令的串接。而以分号字符为不同命令的区别。(原本的作用是用于subquery或作为查询、插入、更新、删除等的条件式)3、 通过本次实验,对sql注入攻击的原理有了一定的了解和认识
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 呼吸道职业暴露
- 云南省曲靖市沾益区2024-2025学年七年级9月月考道德与法治试题(解析版)-A4
- 2023年汽车电喷项目融资计划书
- 2023年变压器、整流器和电感器项目融资计划书
- 2023年导热材料项目融资计划书
- 全科医学复习重点全面培训课件
- 养老院老人康复设施维修人员职业发展规划制度
- 《CT能谱成像》课件
- 完善自身监管优化客户体验建立运营商立体式服务测评系统课件
- 2024年度建筑工程投标廉政合规承诺函3篇
- 气相色谱检测器FID-培训讲解课件
- 新教材人教A版高中数学选择性必修第一册全册教学课件
- 《HSK标准教程1》-HSK1-L8课件
- 幼儿园小班绘本:《藏在哪里了》 课件
- 上册外研社六年级英语复习教案
- 替班换班登记表
- 社会保险法 课件
- 阿利的红斗篷 完整版课件PPT
- 桥梁工程挡土墙施工
- 供应商质量问题处理流程范文
- 实验室生物安全手册(完整版)资料
评论
0/150
提交评论