《网络安全管理课程设计》学生实训报告(4)
实 训 报 告
院(系):信息学院 班级 专业 实验 名称 所用 软件 实验目的或要求 实 验 步 骤 、心 得 体 会 网络系统管理 课程名称:网络安全管理课程设计 学号 姓名 日期: 实 验 室 计算机号 成绩评定 实验五 SQL注入 IE、啊D、教主、明小子、NBSI、wed、wis 教师签名 1.理解SQL注入的原理。 2.掌握常用的SQL注入的方法。 3.熟练掌握典型SQL注入工具的使用。 4.了解SQL注入的防御。 实验步骤: 一、手工查找SQL注入点 1、 IE菜单=>工具=>Internet选项=>高级=>显示友好 HTTP 错误信息前面的勾去掉。 2、 用google高级搜索,查找关键词为 ,关键字所在位置选择“网站的网址”,查找asp网站,如果查找php语言网站,将关键词改为“php?id=”即可。 3、 在查找结果中,选择一个网站,在该地址后面加单引号,回车。 网站地址: 返回信息: 是否存在可能注入点? 4、为了进一步验证该网站是否存在注入点,再使用来 进行测试。 返回正常页面 返回错误页面 是否肯定该处存在注入点? 备注:本实验报告用于各学科与计算机应用相关课程的实验,务必按时完成。不交此报告者,本次实验为
“不及格”。
九江学院
实 验 步 骤 、心 得 体 会 二、判断数据库类型 方法一:利用数据库服务器的系统变量进行区分 步骤:在注入点后面加入 返回信息: 判断数据库为: 方法二:利用系统表 输入 是否正常显示? 输入 是否正常显示? 是何种类型数据库? 方法三:根据网站返回的错误信息 返回信息: 返回信息中包含类似Microsoft JET Database Engine错误 '70040e14' 是何种类型数据库? 三、判断表是否存在。 用and exists (select * from tablename)进行判断表的存在。 在注入点后面紧跟and exists (select * from tablename)即可。 你所输入的判断语句是: 该表是否存在? 记录你所判断出的存在的表名: 四、判断表的字段是否存在。 使用and exists (select id from tablename)(id指字段名称)判断字段是否存在。 在注入点后面紧跟and exists (select id from tablename)即可。 使用语句and exists(select id from tablename where id=n)判断管理员id值。 在注入点后面紧跟and exists(select id from tablename where id=n)即可。 你所输入的判断语句是: 存在的字段是? 五、判断各字段长度。 使用and exists (select userid from tablename where len(userid) “不及格”。 九江学院 实 验 步 骤 、心 得 体 会 你所输入的判断语句有: 各字段长度是多少? 六、猜解帐号和密码 1、 练习asc和mid函数 asc函数的作用是获取ascii。 mid函数的作用是取字符,格式为mid(字符串,起始位置,取值长度), 如mid(xyz,2,1)表示对xyz从第二位开始取,取1个字符,即取y。 2、 猜解账号 and exists (select username from tablename where [ id=n and ] asc(mid(username,1,1))>m) ? Username为上次实验所判断出的用户名字段名; ? Tablename为上次实验所判断出的表名。 ? m表示为一个数值,即判断某个字符的ascii是否大于该值。汉字的ascii是小于0的。A的ascii为65,a为97,0为48,也可借助ascii转换软件进行转换。 将该语句直接连接到注入点之后,回车即可,若返回正常页面,表示大于m,否则小于m,该处继续使用二分法进行判断。 记录你的猜解步骤: 最终猜解结果: 3、 猜解密码 and exists (select password from tablename where asc(mid(password,1,1))>m) 备注:本实验报告用于各学科与计算机应用相关课程的实验,务必按时完成。不交此报告者,本次实验为 “不及格”。 九江学院 实 验 步 骤 、心 得 体 会 ? Password 为上次实验所判断的密码字段名。 记录你的猜解步骤:
…… 此处隐藏:1181字,全部文档内容请下载后查看。喜欢就下载吧 ……
相关推荐:
- [学前教育]MC9S12XS256RMV1 xs128芯片手册4
- [学前教育]安东尼语录经典语录
- [学前教育]e级gps控制测量技术设计书
- [学前教育]苏教版2022-2022学年八年级下学期期末
- [学前教育]装修公司推广 营销
- [学前教育]家政服务合同(完整版)
- [学前教育]湖北省2016届高三联考语文试题
- [学前教育]爱立信无涯学习系统LTE题库1-LTE基础知
- [学前教育]揭秘大众柴油车作弊软件原理
- [学前教育]人才流失原因及对策分析
- [学前教育]房屋建筑施工工程劳务分包合同
- [学前教育]国际贸易实务试卷A卷09.6
- [学前教育]校园废品回收活动计划方案书范文格
- [学前教育]电大成本会计试题及答案
- [学前教育]大学物理实验 华南理工出版社 绪论答案
- [学前教育]爱丁堡产后抑郁量表
- [学前教育]液压冲击的危害、产生原因与防止方法(
- [学前教育]学生工作总结高一学生期中考试总结_020
- [学前教育]人民医院医疗废物管理规章制度大全
- [学前教育]阳光维生素的巨大抗癌潜能阅读题答案.d
- 马云在云锋基金江苏论坛闭幕式的发言
- 试论小学体育教育中的心理健康教育-教
- 语文A版一年级下册《语文乐园一》教学
- 2021四川大学物理化学考研真题经验参考
- [人教A版]2015-2016学年高中数学 第二
- 终端网点销售返利协议书
- 江苏省2015年眼科学主治医师青光眼考试
- 2017年部编人教版八年级语文上册教案
- 十一中学七年级英语上册Unit7Howmuchar
- 以赛促教的创新性实验教学机制建设实践
- 平凉市崆峒区2015七年级下生物期末试题
- 琶洲(地块五)A、B塔楼1、2#塔吊基础
- 一级医院工作制度与人员岗位职责
- 2018北京西城区高三二模理科数学试题及
- 炒股密码线技术 - 图文
- 职高学生生涯发展辅导教案
- 语文人教版四年级上册8 世界地图引出的
- 最新最新人教版二年级上册全册数学教案
- 2017高考英语全国2卷精彩试题(有问题
- 普通心理学笔记




