SQL注入实验报告
- 格式:pdf
- 大小:1.02 MB
- 文档页数:12


SQL实验报告(优秀范文5篇)
第一篇:SQL实验报告
实验四触发器实验
(一)
after
触发器
(1 1)
在l l i neitem 表上定义一个 after 触发器, , 当修改列项目e e x
tendedprice d i scount
x tax 时, , 要把 s orders 表得to o tal pri ce e 一起修改, ,
以保证数据一致性
C RE ATE T RIGGER
trig _line ite m_ pr ice_ update on line it em fo r
upda te
a as
begin i f(UPDATE(ex tend edprice)
o r UPDATE(tax)
or UPD AT E(di scou nt))begin
-— 声明游标变量指向 inserted 表
d eclare
cursor_inserted c urs or
rea d_only
o for select order key,linenu mber,exte nd edpr ice,
dis coun t, tax
from
in ser ted
—-息信找查取获量变明声ﻩ 声明变量获取查找信息
de clare order key in t, @linenumb er
int,exte nd edprice real,dis scount real,tax real
—-打开游标 epoﻩ en cursor_i ns ert ed
—-标游取读ﻩ 读取游标
fe tch
next
from cur sor _i ns erte d int o @o rderkey, @lin enumber,e ext ende dprice, @di scount,t ax
w whi le FETC H_S TATUS =0 nigebﻩ n
ﻩ —-声明一个变量保存重新计算得新价格 cedﻩﻩ ecl are @n
一、实验目的
本次实验旨在了解网络攻击的基本原理、方法及防御措施,提高网络安全意识和防护能力。通过模拟网络攻击实验,使学员掌握以下技能:
1. 熟悉常见的网络攻击类型,如SQL注入、XSS跨站脚本攻击、CSRF跨站请求伪造等。
2. 掌握网络攻击的实验方法和步骤。
3. 了解网络安全防护措施,提高网络安全防护能力。
二、实验环境
1. 操作系统:Windows 10
2. 浏览器:Chrome
3. 实验工具:Burp Suite、SQLMap、XSSTrainer、DVWA等
三、实验内容
1. SQL注入攻击与防御
(1)实验步骤
① 在SQLMap工具中配置攻击参数,选择攻击目标。
② 执行攻击,观察SQL注入漏洞是否存在。
③ 若存在漏洞,尝试获取数据库信息。
(2)防御措施
① 对用户输入进行过滤和转义。
② 使用参数化查询。
③ 限制数据库权限。
2. XSS跨站脚本攻击与防御
(1)实验步骤
① 在XSSTrainer平台上进行实验,尝试各种XSS攻击方式。 ② 观察XSS漏洞是否存在。
(2)防御措施
① 对用户输入进行编码和转义。
② 使用内容安全策略(CSP)。
③ 设置HTTPOnly和Secure标志。
3. CSRF跨站请求伪造攻击与防御
(1)实验步骤
① 在DVWA平台上设置CSRF漏洞,模拟攻击场景。
② 使用Burp Suite进行攻击,观察CSRF漏洞是否存在。
(2)防御措施
① 使用验证码技术。
② 设置CSRF令牌。
③ 限制跨站请求的来源。
4. DDoS攻击与防御
(1)实验步骤
① 使用DDoS攻击工具,对实验主机进行攻击。
② 观察实验主机是否受到攻击。
(2)防御措施
① 启用SYN Cookies处理SYN洪水攻击。
② 配置防火墙限制IP地址的连接速率。
③ 使用专业的DDoS防护服务。
四、实验结果与分析
1. SQL注入攻击与防御 实验结果表明,在未采取防护措施的情况下,SQL注入攻击容易成功。通过过滤和转义用户输入、使用参数化查询、限制数据库权限等措施,可以有效防御SQL注入攻击。
web漏洞实验报告
Web漏洞实验报告
概述:
Web漏洞是指存在于Web应用程序中的安全弱点,黑客可以利用这些漏洞来获取未经授权的访问、窃取敏感信息或破坏系统。为了更好地了解Web漏洞的类型和影响,我们进行了一系列的实验。
实验一:SQL注入漏洞
SQL注入漏洞是最常见的Web漏洞之一。通过在用户输入的数据中插入恶意SQL代码,黑客可以绕过应用程序的验证机制,获取数据库中的敏感信息。我们在实验中使用了一个简单的登录页面作为目标,通过输入特定的SQL语句,我们成功绕过了登录验证,并获取了数据库中的用户信息。这个实验让我们深刻认识到了SQL注入漏洞的危害性,并意识到了在开发过程中应该对用户输入进行严格的验证和过滤。
实验二:跨站脚本攻击(XSS)
XSS是另一种常见的Web漏洞,黑客可以通过在网页中插入恶意脚本来获取用户的敏感信息或控制用户的浏览器。我们在实验中构建了一个简单的留言板应用,通过在留言内容中插入恶意脚本,我们成功地获取了其他用户的Cookie信息。这个实验让我们认识到了XSS漏洞的危害性,以及在开发过程中应该对用户输入进行适当的过滤和转义。
实验三:文件上传漏洞
文件上传漏洞是指应用程序未对用户上传的文件进行充分的验证和过滤,导致黑客可以上传恶意文件并在服务器上执行任意代码。我们在实验中构建了一个文件上传功能,并成功地上传了一个包含恶意代码的文件。这个实验让我们意识到了文件上传漏洞的危险性,并明白了在开发过程中应该对用户上传的文件进行严格的验证和限制。
实验四:跨站请求伪造(CSRF)
CSRF是一种利用用户身份验证信息来执行未经授权操作的攻击方式。我们在实验中构建了一个简单的转账功能,并成功地利用了CSRF漏洞来执行未经授权的转账操作。这个实验让我们认识到了CSRF漏洞的危害性,并明白了在开发过程中应该对用户的操作进行适当的验证和防范。
实验五:命令注入漏洞
命令注入漏洞是指应用程序未对用户输入的命令进行充分的验证和过滤,导致黑客可以执行任意系统命令。我们在实验中构建了一个简单的命令执行功能,并成功地执行了一些恶意系统命令。这个实验让我们深刻认识到了命令注入漏洞的危险性,并明白了在开发过程中应该对用户输入的命令进行严格的验证和转义。
实验二:使用SQL注入攻击篡改数据
一、实验目的
1、实践SQL注入攻击
2、进入网站后台
二、实验内容
首先找到注入点,判断注入类型与注入方式,然后再进行暴库、表、表字段操作,最后再获取账号与密码数据,而后返回登录页面进入后台。
三、实验环境
1、靶机
2、VMware虚拟机
四、实验步骤
手工注入
(1) 打开靶机,访问正常的页面
(2) 在id=35后输入单引号,结果页面报错
(3) 在id=35后输入and 1=1,页面正常
(4) 在id=35后输入and 1=2,页面报错
PS:证明这是一个存在注入漏洞的页面,且注入点为数字型注入
(5) 用order by 语句查询有多少列字段,16报错
(6) 15显示正常页面
PS:说明网页注入字段长为15
(7) 用不存在的参数显示出回显位置为3,7,8,9,11,12,14
PS:判断出网页回显信息的位置,以便获取注入语句执行后返回的信息
(8) 查询当前页面所在数据库信息
系统用户名:root@localhost
操作系统:Win32
数据库名:cms
用户名:root@localhost
数据库版本:5.5.53 //5.0及以上和5.0以下手工注入方式不一样
(9) 在这里我们选择cms这个数据库,将cms进行一个16进制hex转码
cms的hex编码为0x636d73
(10) 查询cms数据库中所有表名 构造语句:
union select 1,2,3,4,5,6,7,8,9,10,11,12,13,group_concat(table name),15 from Infomation _schema.tables where table schema=0x636D73
(11) 在这里我们选择cms_users,猜测放了用户信息的表,进行一个16进制hex转码
cms_users的hex编码为0x636d735f7573657273