2020年网络安全大赛样题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第46 届世界技能大赛河南省选拔赛
“网络安全”项目—样题
、赛项时间
9:00-12:00 ,共计3 小时。
、赛项信息
1. 网络拓扑图
地址规划表
二)第一阶段任务书(70 分)
任务1:SQL注入攻防
任务环境说明:
服务器场景:WebServ2003
服务器场景操作系统:
Microsoft Windows2003 Server
服务器场景安装服务
/ 工具1:A pache2.2 ;
服务器场景安装服务
/ 工具2:P hp6;
服务器场景安装服务
/ 工具3:M icrosoft SqlServer2000
服务器场景安装服务/ 工具4:E ditPlus ;
(过)1. 访问WebServ2003 服务器场景,进入login.php 页面,分析该页面源程序,找到提交的变量名,并将该变量名作为Flag 提交;
()2. 对该任务题目1 页面注入点进行SQL注入渗透测试,使该Web站点可
通过任意用户名登录,并将登录密码作为Flag 提交;
Union select * from users -- SQL注入语句
3. 进入WebServ2003 服务器场景的C:\AppServ\www 目录,找到loginAuth.php 程
序,使用EditPlus 工具分析并修改PHP源程序,使之可以抵御SQL注入,并将修改后的PHP
源程序中的Flag 提交;
prepare($sql)|execute(array($username,$password))|fetch()
4. 再次对该任务题目1 页面注入点进行渗透测试,验证此次利用该注入点对
WebServ2003服务器场景进行SQL注入渗透测试无效,并将Web页面回显内容作为Flag 提交
5. 访问WebServ2003 服务器场景,"/"->"Employee Information Query" ,分析该
页面源程序,找到提交的变量名,并将该变量名作为Flag 提交;
6. 对该任务题目5 页面注入点进行渗透测试,根据输入“ %”以及“ _”的返回结果确
定是注入点,Web页面回显作为Flag 提交;
7. 通过对该任务题目5 页面注入点进行SQL注入渗透测试,删除
WebServ2003服务器场景的目录下的1.txt 文档,并将注入代码作为Flag 提交;
exec master.dbo.xp_cmdshell 'del ' C:\a.txt'
8. 进入WebServ2003 服务器场景的C:\AppServ\www 目录,找到QueryCtrl.php 程
序,使用EditPlus 工具分析并修改PHP源程序,使之可以抵御SQL注入渗透测试,并将修改后
的PHP源程序中的Flag 提交;
Addslashes 定义和用法
addlashes ()函数返回在预定义的字符前添加反斜杠的字符串。
预定义字符是:
单引号(')
双引号(“)
反斜杠()
空值
提示:该函数可用于存储在数据库中的串行以及数据库查询语句准备合适的字符串。
注释:在适当情况下,PHP 指令magic_quotes_gpc 为上,对所有的GET ,POST 和COOKIE 数据自动运行addlashes ()。义。遇到这种情况时可以使用函数get_magic_quotes_gpc ()进行检测。
str_replace: 定义和用法
str_replace() 函数替换字符串中的一些字符(区分大小写)。
该函数必须遵循下列规则:
如果搜索的字符串是一个数组,那么它将返回一个数组。
如果搜索的字符串是一个数组,那么它将对数组中的每个元素进行查找和替换。
如果同时需要对某个数组进行查找和替换,并且需要执行替换的元素少于查找到的元素的数量,那么多余的元素将用空字符串进行替换。
如果是对一个数组进行查找,但只对一个字符串进行替换,那么替代字符串将对所有查找到的值起作用
9. 再次对该任务题目5 页面注入点进行渗透测试,验证此次利用注入点对该
WebServ2003服务器场景进行SQL注入渗透测试无效,并将Web页面回显内容作为Flag 提
交。
任务2:XSS和CSRF攻防
任务环境说明:
服务器场景:WebServ2003
服务器场景操作系统:Microsoft Windows2003 Server
服务器场景安装服务
/ 工具1:Apache2.2 ;
服务器场景安装服务
/ 工具2:Php6;
服务器场景安装服务
/ 工具3:Microsoft SqlServer2000 ;
服务器场景安装服务/ 工具4:EditPlus ;
1. 访问WebServ2003 服务器场景,"/"->" Employee Message Board" ,分析该页面
源程序,找到提交的变量名,并将该变量名作为Flag 提交;
2. 对该任务题目1 页面注入点进行XSS渗透测试,并进入"/"->" Employee Message
Board"->"Display Message" 页面,根据该页面的显示,确定是注入点,并将Web页面回显内
容作为Flag 提交;
3. 对该任务题目1 页面注入点进行渗透测试,使"/"->" Employee Message
Board"->"Display Message" 页面的访问者执行网站( / )中的木马程序:
/TrojanHorse.exe ,并将注入代码内容作为Flag
提交;