信息安全管理与评估补充题

1、信息安全管理与评估补充题1.配置靶机WebServ2003的DHCP功能，能够分配IP的范围为172.19.X.X(111150)，XP客户端申请IP地址，将第二阶段和第四的数据包类型作为Flag值提交,格式为:F1-F2；2.使用渗透机攻击WebServ2003，进行DHCP地址池耗尽攻击，把使用中的IP地址数比例作为Flag提交；3.进入loginAuth.php程序，修改PHP源程序，使之可以抵御SQL注入，并填补空缺处内容，将填补内容作为Flag提交，格式为F1|F2|F3；4.再次对该任务loginAuth.php页面注入点进行渗透测试，验证此次利用任意用户进行SQL注入渗透测试无效

2、，并将回显提示信息作为Flag提交。5.Web继续访问WebServ2003服务器，"/"->"Employee Information Query"，分析该页面源程序，找到提交的变量名，并作为Flag提交。6. Web继续访问WebServ2003服务器，"/"->"Employee Information Query"，分析该页面源程序，将表单提交方式作为Flag提交。7. Web继续访问WebServ2003服务器，"/"->"Employee Informat

3、ion Query"，分析该页面源程序，表单提交后跳转页面的路径作为Flag提交。8.对"Employee Information Query"页面注入点进行渗透测试，根据输入“%”以及“_”的返回结果确定是注入点，并将显示结果倒数第三行内容作为Flag提交；9.通过对该任务题目5页面注入点进行SQL注入渗透测试，删除WebServ2003服务器的C:目录下的1.txt文档，并将注入代码作为Flag提交。 exec master.dbo.xp_cmdshell del c:1.txt10.进入WebServ2003服务器的C:AppServwww目录，找到Quer

4、yCtrl.php程序，分析并修改PHP源程序，将%替换为%,_替换为_使之可以抵御SQL注入渗透测试，并将修改后新增语句内容作为Flag提交。格式为F1-F2-F311.再次对该任务题目5页面注入点进行渗透测试，验证此次利用注入点对该WebServer进行SQL注入渗透测试无效，并将验证过程截图。将系统出现的错误提示作为Flag提交。12.进入WebServ2003服务器，禁用系统存储过程可以抵御SQL注入渗透测试，将禁用系统存储的语句作为Flag提交。格式为Y1-Y2-Y3-Y4.13.进入"/"->" Employee Message Board&qu

5、ot;->"Display Message"页面，再次对页面注入点进行渗透测试，调用存储过程删除WebServ2003服务器的C:目录下的1.txt文档，将页面提示第一个字符串作为Flag提交；14.进入"/"->" Employee Message Board"->"Display Message"页面进行XSS渗透测试，循环弹框"Hacker!",根据该页面的显示，确定是注入点，并将构造的注入代码作为Flag提交。15.通过IIS搭建网站（/

6、），并通过渗透机生成木马程序TrojanHorse.exe，将使用的工具和模块路径作为Flag提交。格式为F1&F2 16.对该任务题目1页面注入点进行渗透测试，使"/"->" Employee Message Board"->"Display Message"页面的访问者执行网站（/）中的木马程序：/TrojanHorse.exe，并将注入代码作为Flag提交。 17.进入WebServ2003服务器的C:AppServwww目录，找到insert.

7、php程序，分析并修改PHP源程序，使用替<、替换>,使之可以抵御XSS渗透测试，并将需要使用的函数和增加语句作为Flag提交。格式为F1/F218.再次执行第16题注入渗透攻击，进入后台数据库中存储内容作为Flag提交。19.Web访问DCST中的WebServ2003服务器，"/"->" Shopping Hall"，分析该页面源程序，找到最后一次提交的变量名和值作为Flag提交。20.对该任务题目19页面注入点进行渗透测试，使"/"->" Employee Message Board"

8、->"Display Message"页面的访问者向页面ShoppingProcess.php提交参数goods=cpu&quantity=10000，查看"/"->"PurchasedGoods.php页面，并将注入代码作为Flag提交。 10000" </script>21.进入WebServ2003服务器的C:AppServwww目录，找到DisplayMessage.php程序，分析并修改PHP源程序，使之可以抵御CSRF渗透测试，将需要用到的函数作为Flag提交。22.Web访问ebServ2

9、003服务器，"/"->" Display Directory"，分析该页面源程序，找到提交的变量名作为Flag。23.对题目22页面注入点进行渗透测试，使页面DisplayDirectoryCtrl.php回显C:Windows目录内容的同时，对WebServer添加账号“Hacker”，将该账号加入管理员组，并将注入代码作为Flag提交。24.对该任务题目22页面注入点进行第23题渗透测试，使页面DisplayDirectoryCtrl.php回显内容最后一行作为Flag提交。25.Web访问WebServ2003服务器，"/&quo

10、t;->" Display Uploaded's File Content"，分析该页面源程序，找到提交的变量名作为Flag提交。26.对该任务题目5页面注入点进行渗透测试，使页面DisplayFileCtrl.php回显WebServ2003服务器访问日志文件：AppServ/Apache2.2/logs/access.log的内容，并将注入代码作为Flag提交。27.进入WebServ2003服务器的C:AppServwww目录，找到DisplayFileCtrl.php程序，分析并修改PHP源程序，使之可以抵御文件包含渗透测试，并将使用的函数和回显内容作为Flag提交。格式为(F1-F2)28.在BT5对PC进行ARP Spoofing渗透测试，使PC无法WebSer