实验心得
经过这半天的学习,我学习到了自己在开发的过程中不可以用比较大众的方式来设置密码,在和用户之间有交互的页面里,我还要注意到用户会上传一些恶意的
篡改的内容。
实训目的
深入理解网络无安全的思想。
了解局域网查看软件Lansee的使用方法。
了解端口扫描软件AdvancedPortScanner的使用方法。
了解Web后台扫描软件御剑的使用方法。
了解网站漏洞扫描工具AWVS的使用方法。
了解Webshell连接工具中国菜刀的使用方法。
掌握端口及漏洞扫描的基本知识,能够利用工具进行扫描工作。
掌握网站入侵的一般流程。
实训步骤
在windows上部署一个IIS web服务
安装IIS相关环境并利用IIS服务器发布靶站源代码(注意应用程序池使用.net 4.0并开启.NET服务)
实训任务1 Web扫描
网站后台扫描工具御剑
1、打开御剑后台扫描工具,输入要扫描的网站域名。
2、线程选择2-4个,点击开始扫描。
3、等待扫描结果。
网站漏洞扫描工具AWVS
1、安装AWVS软件并破解。
2、利用target finder功能扫描一个IP地址是否提供web服务,是否开启80、443等端口。
3、利用web scanner功能扫描一个网站(自己搭建的靶站),观察扫描结果(包括漏洞告警、网站结构、cookies等信息)
4、利用site crawler功能爬取网站的文件和目录
实训任务2 漏洞利用
篡改页面内容
1、在网站前台或后台中寻找能够提交信息的合适位置。
2、提交代码,使用另外的主机访问此网站,观察效果。
3、提交代码:
实训任务3 上传后门程序(木马)并控制目标主机
1、设法获得上传文件在网站目录中的文件名称和路径。
2、利用中国菜刀工具连接一句话木马(密码为pass)。
3、获得目标服务器的操作权限并拿到数据库文件。
4、对数据库中的账号密码进行解密。
