攻击类
跨站脚本攻击(XSS)实验
跨站脚本(XSS)是一种在 web 应用程序中常见的漏洞。此漏洞使得攻击者能够将恶意代码 (例如 JavaScript 程序)注入受害者的 web 浏览器。利用这种恶意代码,攻击者可以窃取受害者的身份信息, 例如 session cookie。攻击者利用这个漏洞,可以绕过浏览器的访问控制机制。
查看课程资料 →
攻击类
跨站请求伪造(CSRF)实验
本实验的目的是帮助学生理解跨站请求伪造(CSRF)攻击。CSRF 攻击涉及受害用户、受信>任站点和恶意站点。当受害者在访问恶意站点时,恶意站点的网页就有机会向受信任站点发 出 HTTP 请求,导致损害。
查看课程资料 →
攻击类
SQL 注入攻击实验
SQL 注入是一种利用 Web 应用程序与数据库交互的漏洞而进行的代码注入技术。这种漏洞是由于用户的输入在发送到后端数据库之前没有被正确检查导致的。 许多 Web 应用程序都会从用户那里获取输入,并使用这些输入来构造 SQL 查询,以便从数据库中获取信息。Web 应用程序也使用 SQL 将信息存储在数据库中。这些是 Web 应用程序开发中的常见做法。当 SQL 的查询构建时不小心的话,可能会出现 SQL 注入漏洞。SQL 注入是针对 Web 应用程序最常见的攻击之一。 在这个实验中,我们创建了一个易受 SQL 注入攻击的 Web 应用程序。学生的目标是利用程序中的漏洞来做 SQL 注入攻击,同时学习防御此类攻击的技术。
查看课程资料 →
攻击类
点击劫持攻击实验(Cupcakes)
点击劫持(Clickjacking,也称为 UI redress attack)是一种诱导用户在网页中点击非预期目标的攻击。攻击者通过隐藏或覆盖页面元素,让用户以为自己点击的是正常按钮,实际上触发了攻击者预设的恶意操作。
查看课程资料 →