1.实验后回答问题
(1)SQL注入攻击原理,如何防御
感觉上次做的也是sql注入,就是故意的非法输入(输入的是一些指令)让他读进去,然后在里面执行。
防御手段:一个是字符串检测,另一个是限制输入字符串的长度。
(2)XSS攻击的原理,如何防御
xss攻击就是攻击网页使得其他用户查看网页时受到影响。
防御手段:程序员应该防止下发界面显示html标签,把</>等符号转义
(3)CSRF攻击原理,如何防御
通过伪装来自受信任用户的请求来利用受信任的网站,即受害用户登录受信任网站后,在本地生成了COOKIE而又在不登出该网站的情况下,访问了危险网站,而此时访问的危险网站可能就已经写入了利用你的身份进行而恶意操作的代码
防御手段:少登陆不知名网站,不长时间保存cookie、
2.实验总结与体会
这次试验操作上基本没有问题,但是需要思考很多东西还有一个就是英语问题。。。但是,其实我觉得我就是在别人走过的路一路坦然走过,跟着做是很简单,但是如果自己什么参考都不看来做呢?这是最后一次实验了,说实话还是有点舍不得,感觉还没学到什么,虽然实验过程确实是有的时候弄得脑壳痛但是很充实。
3.实践过程记录
启动WebGoat
在杨正晖同学的实验报告中下载好7.0.1.版本的安装包,然后拖到虚拟机的home里。
在终端使用指令
1
java -jar webgoat-container-7.1-exec.jar
信息: Starting ProtocolHandler ["http-bio-8080"]
打开浏览器,访问localhost:8080/WebGoat,登陆即可开始答题