文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
输入“%”,返回所有用户信息(截图)
输入“_”,返回所有用户信息(截图) (3分)
7. 通过对该任务题目5页面注入点进行SQL注入渗透测试,删除DCST中的WebServ2003服务器的C:\\目录下的1.txt文档,并将注入代码及测试过程截图;(5分)
构造注入语句:
‘exec ‘del c:\\1.txt’-- (5分)
8. 进入DCST中的WebServ2003服务器的C:\\AppServ\\www目录,找到QueryCtrl.php程序,使用EditPlus工具分析并修改PHP源程序,使之可以抵御SQL注入渗透测试,并将修改后的PHP源程序截图;(10分)
6
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
截图:
在服务器场景QueryCtrl.php源程序语句:$keyWord=$_REQUEST[‘usernm’]之后加入:
(10分)
9. 再次对该任务题目5页面注入点进行渗透测试,验证此次利用注入点对该WebServer进行SQL注入渗透测试无效,并将验证过程截图。(5分)
通过:‘exec ‘del c:\\1.txt’— 再次进行SQL注入截图;
系统出现错误提示:Bad KeyWord!(截图) (5分)
任务2:XSS和CSRF攻防(65分)
7
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
1. Web访问DCST中的WebServ2003服务器,\ Employee Message Board\,分析该页面源程序,找到提交的变量名,并截图;(5分) 找到源程序:(2分)
含有页面标题:
2. 对该任务题目1页面注入点进行XSS渗透测试,并进入\ Employee Message Board\页面,根据该页面的显示,确定是注入点,并将测试过程截图;(5分)
8
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
构造注入代码:(2分)
测试过程:(3分)
9
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.
名称:trojanhorse.exe 发送者:hacker.org
4. 通过IIS搭建网站(),并通过Kali生成木马程序
TrojanHorse.exe,将该程序复制到网站()的WWW根目录下,并将搭建该网站结果截图;(5分) 搭建IIS(1分)
Internet信息服务: 网站目录下存放: trojanhorse.exe 搭建DNS(1分)
10
2016信息安全管理与评估赛项赛题与评分标准—第二阶段答案及评分标准
