《网络安全防护项目教程》_子任务823SQL注入实战.pptxVIP

学习目标：知识目标技能目标态度目标能够掌握注入攻击的特征能够灵活判断数据库的各种状态能解决配置过程中出现的问题培养认真细致的工作态度和工作作风养成刻苦、勤奋、好问、独立思考和细心检查的学习习惯能与组员精诚合作，能正确面对他人的成功或失败具有一定自学能力，分析问题、解决问题能力和创新的能力了解数据库安全防护的必要性掌握注入式攻击的原理

8.1任务概述

新天教育培训集团在持续运营一段时间后，服务器都增加了大量的资料和数据。这些数据统一由数据库软件进行管理。但是新天教育部门主管担心这些数据容易受到外部攻击，特别是通过数据库进行攻击。为此，新天教育培训集团需要有效的安全防护手段。唐宇经过凭借所学的知识他马上想到了要满足以上要求需要针对数据库进行安全配置。8.2情境描述

配置的流程怎样？准备实验环境？手工注入操作？理解手工注入规则？12348.3任务分析

任务8-2SQL注入攻击 1.SQL注入实验环境SQL注入攻击的一般步骤为查找可攻击的网站、判断后台数据库类型、确定xp_cmdshell可执行情况、发现web虚拟目录、上传木马、得到管理员权限等。实际应用过程中，需要搭建环境来完成实践任务，以避免在真实应用过程中出现不可控因素和受到不必要的危险。搭建网站来完成任务的时候通常采用如下一些方式，如表所示。本任务中准备Mysql+Php+Apache+Windows的环境。子任务8-2-3SQL注入实战

任务8-2SQL注入攻击 2.准备环境（1）一台计算机（作为攻击机）（2）在计算机上，安装一台虚拟机（以Vmware为例）（3）在虚拟机上安装WindowsServer2008系统、安装Web服务器（4）为了简化安装过程，在虚拟机上安装phpstudy工具拓扑结构如图8-3-2所示。子任务8-2-3SQL注入实战图8-3-2拓扑结构图

任务8-2SQL注入攻击 3．实战步骤1：测试虚拟机与真实机的连通性，配置真实机、虚拟机都能连通网络（1）查看虚拟机地址，如图8-3-3所示。子任务8-2-3SQL注入实战图8-3-3虚拟机“Internet协议版本4（TCP/IPv4）属性”对话框

任务8-2SQL注入攻击 （2）查看真实机地址，如图8-3-4所示。子任务8-2-3SQL注入实战图8-3-4真实机查询IP地址对话框

任务8-2SQL注入攻击 （3）测试连通性：真实机ping虚拟机。如图8-3-5所示。从图中显示信息可判断，真实机与虚拟机连接状况正常。子任务8-2-3SQL注入实战图8-3-5真实机与虚拟机连通性测试

任务8-2SQL注入攻击 步骤2：测试虚拟机连通网络状况，如图8-3-6所示。从图示情况可见，虚拟机与网络连通正常。子任务8-2-3SQL注入实战图8-3-6虚拟机网络连通状态

任务8-2SQL注入攻击 步骤3：测试代码。（1）将如下代码写入记事本，另存为index.html，存放在test文件夹下。子任务8-2-3SQL注入实战

任务8-2SQL注入攻击 html?head?titleSql注入演示/title?metahttp-equiv=content-typecontent=text/html;charset=utf-8?/head?body?formaction=validate.phpmethod=post?fieldset?legendSql注入演示/legend?table?tr?td用户名：/tdtdinputtype=textname=username/td?/tr?tr?td密??码：/tdtdinputtype=textname=password/td?/tr?tr?tdinputtype=submitvalue=提交/tdtdinputtype=resetvalue=重置/td?/tr?/table?/fieldset?/form?/body?/html?子任务8-2-3SQL注入实战

任务8-2SQL注入攻击 （2）架设IIS管理器。设置网站，如图8-3-7所示。子任务8-2-3SQL注入实战图8-3-7“添加网站”对话框

任务8-2SQL注入攻击 （3）设置默认文档，如图8-3-8所示。子任务8-2-3SQL注入实战图8-3-8“Internet信息服务（IIS）管理器”对话框

任务8-2SQL注入攻击 （4）测试。服务器设置完成后进行网页测试，在URL地址栏中输入08，打开如图8-3-9所示对话框。从图示情况可发现，出现了乱码，不能正常显示，因此需要修改代码。子任务8-2-3SQL注入实战图8-3-9“Sql–WindowsInternet