2019高职组GZ-024信息安全管理与评估赛项第二阶段答案及评分标准
任务1:SQL注入攻防(55分)
1. Web访问DCST中的WebServ2003服务器,进入login.php页面,分析该页面源程序,找到提交的变量名,并截图;(5分) 找到源程序:(2分)
页面标题:
2. 对该任务题目1页面注入点进行SQL注入渗透测试,使该Web站点可通过任意用户名登录,并将测试过程截图;(5分)
构造注入语句:
2019高职组GZ-024信息安全管理与评估赛项第二阶段答案及评分标准
username:任意用户名 password:含:or X=’X (X为任意值) (3分)
同时包含截图:
1、通过任意用户名登录(截图)
2、登录成功页面(截图)
(2分)
3. 进入DCST中的WebServ2003服务器的C:\\AppServ\\www目录,找到loginAuth.php程序,使用EditPlus工具分析并修改PHP源程序,使之可以抵御SQL注入,并将修改后的PHP源程序截图;(10分)
2019高职组GZ-024信息安全管理与评估赛项第二阶段答案及评分标准
(10分) 包含语句: 1、
select password from users where username=’$username’ 2、
if($obj->password==$password)
4. 再次对该任务题目1页面注入点进行渗透测试,验证此次利用该注入点对该DCST中的WebServ2003服务器进行SQL注入渗透测试无效,并将验证过程截图;(5分) 同时包含截图:
1、通过任意用户名登录(截图)
相关推荐:
loading