1.实验内容
- (1)Web前端HTML
能正常安装、启停Apache。理解HTML,理解表单,理解GET与POST方法,编写一个含有表单的HTML。 - (2)Web前端javascipt
理解JavaScript的基本功能,理解DOM。
在(1)的基础上,编写JavaScript验证用户名、密码的规则。在用户点击登陆按钮后回显“欢迎+输入的用户名”
尝试注入攻击:利用回显用户名注入HTML及JavaScript。 - (3)Web后端:MySQL基础:正常安装、启动MySQL,建库、创建用户、修改密码、建表
- (4)Web后端:编写PHP网页,连接数据库,进行用户认证
- (5)最简单的SQL注入,XSS攻击测试
- (6)安装DVWA或WebGoat平台,并完成SQL注入、XSS、CSRF攻击。
实验通过搭建完整的Web应用环境(Apache+PHP+MySQL),系统学习Web安全攻防原理。前端实现表单提交与JS验证,后端实现用户认证,重点演示SQL注入和XSS攻击的实际利用过程。通过DVWA平台实践,深入理解输入验证不足导致的安全漏洞,掌握防御措施,建立安全编程意识。
2.实验过程
2.1 Web前端HTML
在虚拟机中输入systemctl start apache2,启动Kali中自带的Apache服务,输入systemctl enable apache2,设置Apache服务开机自启,可以通过systemctl status apache2.service来确认Apache服务的状态。
在kali的浏览器中输入localhost,可以看到Apache的欢迎页面,说明Apache服务启动成功。
HTML是构建网页的基础骨架,它使用标签(tags)来定义网页的结构和内容,它是一种标记语言,不是编程语言,用标签描述内容,元素结构为<标签名 属性="值">内容</标签名>,由声明,包含、、三大部分。
这里我们输入cd /var/www/html,进入/var/www/html目录下,创建两个简单的提交表单信息的html文件,分别采用GET方法和POST方法。
20232412_get.html
点击查看代码
<!DOCTYPE html>
<html>
<head><title>GET表单提交</title>
</head>
<body><form method="get" action="">用户名: <input type="text" name="username" required><br>密码: <input type="password" name="password" required><br><input type="submit" value="提交"></form>
</body>
</html>点击查看代码
<!DOCTYPE html>
<html>
<head><title>POST表单提交</title>
</head>
<body><form method="post" action="">用户名: <input type="text" name="username" required><br>密码: <input type="password" name="password" required><br><input type="submit" value="提交"></form>
</body>
</html>3.问题及解决方案
- 问题1:XXXXXX
- 问题1解决方案:XXXXXX
- 问题2:XXXXXX
- 问题2解决方案:XXXXXX - ...
4.学习感悟、思考等
xxx xxx