Information Security

information_security 信息安全

Task

【实验要求】

SQL注入是一种利用动态网站中普遍存在的动态SQL查询功能，将SQL命令插入到Web表单或页面请求的查询字符串中，最终达到欺骗服务器执行恶意SQL命令，并窃取信息，提升权限，甚至开放后门，设置木马的目的的黑客攻击行为。本次实验将进行SQL注入的测试和实验，并要求同学们在完成实验后，将自己在实验过程中的一些步骤和结果上传作为实验报告，并计入作业成绩。

【实验准备】

提前查阅Mysql、SQLite等数据库的内置函数，熟悉SQL命令

【实验步骤】

1）测试网站是否可以对不同的id值执行并反馈结果
2）测试网站后台数据库的信息及表结构字段数
3）测试网站后台数据库中表字段详细信息
4）手工注入或工具注入

【实验内容】

1. 首先在实验室环境下，使用ipconfig命令，查看本机的IP地址、MAC地址和网关信息，并将结果截图粘贴

2. 针对目标网站中的简单SQL注入测试站点，按照以上步骤进行SQL注入测试，判断目标数据表的字段数、显示内容列等，并将结果截图粘贴

3. 针对目标网站中的article站点，按照以上步骤进行注入测试，判断目标数据表的字段数、显示内容列等，并将结果截图粘贴

4. 练习使用sqlmap注入工具进行SQL注入测试

5. 自行查找目标网站phpcms中是否存在SQL注入漏洞，并进行测试、攻击和注入，将测试步骤和结果截图粘贴

   附件

网络安全实验部分讲义

Sqlmap注入神器

And a great deal of network bank theft affairs happened recently knocked the alarm bell for *information security* of network bank system.
而近期发生的网银大盗横行网络的一系列事件，也再一次为网络银行系统的信息安全敲响了警钟。

phishing
n.网络钓鱼；钓鱼式攻击
网路钓鱼；钓鱼网站；网钓