• / 11
  • 下载费用:10 金币  

l003001024-http攻击与防范-动态函数注入攻击.docx

关 键 词:
l003001024 http 攻击 防范 动态 函数 注入
资源描述:
课程编写类别内容实验课题名称动态函数注入攻击实验目的与要求1了解动态函数注入攻击带来的危险性。2掌握动态函数注入攻击方法3掌握动态函数注入攻击防范方法实验环境VPC1虚拟PC)WINDOWSSERVER2003VPC1连接要求PC网络接口,本地连接与实验网络直连软件描述1、学生机要求安装JAVA环境2、VPC安装WINDWOS系统实验环境描述1、学生机与实验室网络直连2、VPC1与实验室网络直连3、学生机与VPC1物理链路连通;预备知识PHP函数是由多行代码组成的代码块,用于完成某项任务,一般情况下,一个任务多次执行,需要定义函数。函数与方法,是一个含义,但函数常常写在普通的PHP文件中,而方法是属于类的。位于某个类的下面。函数的使用有利也有弊,下面我们来看一下利通过PHP动态函数进行攻击。实验内容掌握动态函数注入攻击方法掌握动态函数注入攻击防范方法实验步骤1、学生单击实验拓扑按钮,进入实验场景,进入目标主机,(第一次启动目标主机,还需要安装JAVA空间),如图所示2打开虚拟机,输入用户名和密码,用户为ADMINSITRATOR密码为1234563打开浏览器,输入HTTP//LOCALHOST8080/EXAMPLE_CODE/如图4鼠标单击打开“(13)动态函数注入攻击”5点击“演示1”,你将会看到“演示1”中读取URL参数FUNC的值,FUNC是一个自定义函数的名称。在“演示1”文件中一共定义了4个自定义函数。(注如需查看程序源码,请打开C\XAMPP\HTDOCS\EXAMPLE_CODE\SOURCE\CODE13\路径下的EX1312PHP文件)1A用来返回XY的值。2B用来返回XY的值。3C用来返回XY的值。4D用来返回X/Y的值。此时给EX1312PHP传入HTTP//LOCALHOST/EXAMPLE/EX1312PHPFUNCC值后,就会显示XY的值。6下面我们来看一下黑客如何使用下面的URI来进行攻击,点击”攻击1“,当我们的值传入EX1312PHPFUNCPHPINFO后,结果会执行PHPINFO函数,来显示服务器信息。7CALL_USER_FUNC函数CALL_USER_FUNC函数用来调用一个自定义函数,方法如下MIXEDCALL_USER_FUNCCALLBACKFUNCTION,MIXEDPARAMETER,MIXEDFUNCTION是要调用的自定义函数名称。PARAMETER是自定义函数的参数。CALL_USER_FUNC函数返回自定义函数的输出,如果有错误产生就返回FASLE。EX1313PHP读取URL参数FUNC的值,FUNC是一个自定义函数的名称(详细程序代码请打开“C\XAMPP\HTDOCS\EXAMPLE_CODE\SOURCE\CODE13\下的EX1313PHP文件”)。下面我们点击“演示2”,不难发现页面就会显示X/Y的值等于0625。此时黑客可以使用下面的URI来进行攻击,点击“攻击2”结果会执行PHPINFO函数,来显示服务器信息。8防范的方法要防范命令注入攻击和EVAL注入攻击,可以使用下列方法。1尽量不要执行外部的应用程序或命令。2使用自定义函数或函数库来替代外部应用程序或命令的功能。3使用ESCAPESHELLARG函数来处理命令的参数。4使用SAFE_MODE_EXEC_DIR来指定可执行的文件路径。5事先列出可以提供给SYSTEM、EVAL等函数的参数。9使用ESCAPESHELLARG函数来处理命令的参数ESCAPESHELLARG函数会将任何会引起参数或命令结束的字符转义,有如下3种可能。单引号“'”会被“\'”替换;双引号““”会被“\“”替换;分号“”会被“\”替换。点击“防范1”,你将看到PHPINFO函数无法被调用。10使用SAFE_MODE_EXEC_DIR指定的可执行文件的路径将PHPINI文件中的SAFE_MODE选项设置为ON,然后将您的WEB程序允许执行的文件放入一个执行的目录中,使用SAFE_MODEEXECDIR来指定这个可执行的文件路径。例如将可执行的外部应用程序放置在C/PHP文件夹内。然后设置PHPINI文件,双击“我的电脑”打开“C盘下的C\XAMPP\PHP”找到PHPINI文件,找到SAFE_MODEOFF,将值改为SAFE_MODEONSAFE_MODE_EXEC_DIRC/PHP重启APACHE服务。注意,目录的分隔必须使用“/”字符,即使在WINDOWS操作系统中也一样。11实验完毕,关闭虚拟机和所有窗口。
展开阅读全文
  麦档网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
0条评论

还可以输入200字符

暂无评论,赶快抢占沙发吧。

关于本文
本文标题:l003001024-http攻击与防范-动态函数注入攻击.docx
链接地址:https://www.maidoc.com/p-1559.html

当前资源信息

lo****j

编号: 20180301224552840462

类型: 共享资源

格式: DOCX

大小: 451.92KB

上传时间: 2018-03-01

关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

[email protected] 2018-2020 maidoc.com版权所有  文库上传用户QQ群:3303921 

麦档网为“文档C2C模式”,即用户上传的文档所得金币直接给(下载)用户,本站只是中间服务平台,本站所有文档下载所得的金币归上传人(含作者)所有。
备案号:蜀ICP备17040478号-3  
川公网安备:51019002001290号 

本站提供办公文档学习资料考试资料文档下载


收起
展开