2016高职组GZ-024信息安全管理与评估赛项第二阶段答案及评分标准

任务1：SQL注入攻防（55分）

1. Web访问DCST中的WebServ2003服务器，进入login.php页面，分析该页面源程序，找到提交的变量名，并截图；（5分） 找到源程序：（2分）

页面标题： 找到提交的变量名（3分） 提供以下变量： name=\name=\

2. 对该任务题目1页面注入点进行SQL注入渗透测试，使该Web站点可通过任意用户名登录，并将测试过程截图；（5分）

构造注入语句：

username：任意用户名 password：含：or X=’X （X为任意值） （3分）

同时包含截图：

1、通过任意用户名登录（截图）

2、登录成功页面（截图）

（2分）

3. 进入DCST中的WebServ2003服务器的C:\\AppServ\\www目录，找到loginAuth.php程序，使用EditPlus工具分析并修改PHP源程序，使之可以抵御SQL注入，并将修改后的PHP源程序截图；（10分）

（10分） 包含语句： 1、

select password from users where username=’$username’ 2、

if($obj->password==$password)

4. 再次对该任务题目1页面注入点进行渗透测试，验证此次利用该注入点对该DCST中的WebServ2003服务器进行SQL注入渗透测试无效，并将验证过程截图；（5分） 同时包含截图：

1、通过任意用户名登录（截图）