实验目标
<i>Web前端HTML
<ii>Web前端javascipt
<iii>Web后端
<iv>最简单的SQL注入,XSS攻击测试
实验要求
<i>Web前端HTML
能正常安装、启停Apache。理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML
<ii>Web前端javascipt
理解JavaScript的基本功能,理解DOM。编写JavaScript验证用户名、密码的规则
<iii>Web后端
MySQL基础:正常安装、启动MySQL,建库、创建用户、修改密码、建表
<iv>Web后端
编写PHP网页,连接数据库,进行用户认证
<v>最简单的SQL注入,XSS攻击测试
功能描述:用户能登陆,登陆用户名密码保存在数据库中,登陆成功显示欢迎页面
基础知识
<i>什么是表单
表单在网页中主要负责数据采集功能。一个表单有三个基本组成部分:
· 表单标签:这里面包含了处理表单数据所用CGI程序的URL以及数据提交到服务器的方法。
· 表单域:包含了文本框、密码框、隐藏域、多行文本框、复选框、单选框、下拉选择框和文件上传框等。
· 表单按钮:包括提交按钮、复位按钮和一般按钮;用于将数据传送到服务器上的CGI脚本或者取消输入,还可以用表单按钮来控制其他定义了处理脚本的处理工作。
<ii>浏览器可以解析运行什么语言
· HTML(超文本标记语言)
· XML(可扩展标记语言)
· Python
· PHP
· JavaScript
· ASP等众多脚本语言
<iii>WebServer支持哪些动态语言
ASP、JSP、PHP等
实验步骤
任务一Web前端HTML
<i>在kali端输入sudo service apache2 start打开Apache服务器
<ii>在浏览器输入127.0.0.1查看
<iii>输入cd /var/www/html进入Apache目录,新建4325.html文件
<iv>浏览器中输入/var/www/html/4325.html打开网页
Web前端javascipt
<i>在原有的4325.html文件基础上添加一段JavaScript代码。
<ii>打开网页之前的网页输入用户名,输入中文时会有提示。
任务三Web后端
MySQL基础
<i>输入/etc/init.d/mysql start开启MySQL服务
<ii>输入mysql -u root -p,root权限进入
默认密码为:password
<iii>输入show databases;查看数据库的基本信息
<iv>输入use mysql;使用mysql这个数据库
<v>输入select user,password,host from user;查看当前用户信息
<vi>输入update user set password=PASSWORD("20175308") where user='root';将root用户的密码修改为20174325
<vii>输入flush privileges;
<viii>输入exit退出数据库,使用新密码进行登录。
<ix>输入create database fomalhaut;建立数据库fomalhaut
<x>输入show databases;查看数据库可以发现新建的fomalhaut数据库
<xi>输入use fomalhaut;使用我们刚刚创建的数据库
<xii>输入create table user (username VARCHAR(20),password VARCHAR(20));建立数据库表,并设置字段基本信息
<xiii>输入show tables;查看表信息
<xiiii>输入insert into user value ('20174325','yjw');向表中插入信息
<xv>输入select * from user;查看user表中的数据
<xvi>输入grant select,insert,update,delete on fomalhaut.* to yezi174325@localhost identified by "20174325";在MySQL中增加新用户
<xvii>输入sudo mysql -u yezi174325 -p登录
编写PHP网页
<i>在/var/www/html目录下新建文件phptest.php
<ii>浏览器输入localhost/phptest.php查看php内容
<iii>浏览器输入localhost/phptest.php?a=/etc/passwd查看/etc/passwd文件内容
<iv>新建login.php
<v>将form表单中的action修改为“login.php”
<vi>浏览器输入127.0.0.1/login.php
连接数据库成功。
任务五最简单的SQL注入,XSS攻击测试
SQL注入
<i>打开127.0.0.1/4325.html
<ii>用户名输入框中输入' or 1=1#,密码输入1234567
登录成功。
XSS攻击
<i>将图片放在/var/www/html目录下,命名为yezi.jpg
<ii>浏览器登录用户名输入img src=“yezi.JPG”/登录
实验总结
此次实验较为简单,可能是基于web的基础,而在此之前,上学期也刚学习完web课程。通过此次实验,对于web的基础操作,数据库连接和简单攻击,让我对于web的基础知识更加理解与掌握,在运用方面也更加深入,还有对于之前web学习理论和实际应用上的不同和短板查漏补缺,总的来说,此次实验虽然操作简单,但涉及知识还是很全面,所以收获也还是很大的。