网络信息安全基础（AIGC版） 教学课件 项目九 Web应用的安全配置

任务1数据库用户与权限管理——项目九Web应用的安全配置本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络信息安全基础（AIGC版）》出版社：电子工业出版社主编：蓝永健、徐龙泉副主编：高安邦、石晋阳、钟达夫参编：林俊生、黄超强、肖媚娇出版日期：2026年目录CONTENTS任务规划01相关知识02理解Web应用安全HTTP基础使用Wireshark过滤HTTP数据包子任务1捕获网站用户名和密码03子任务2加固建议和应对0401任务规划任务规划为了测试网站应用程序的安全性，要求对登录页面的表单安全性进行检测，判断网站管理员的用户名和密码是否会被拦截？如果发生被拦截，需要给出加固的方法和措施。小安选用Wireshark软件捕获目标网站的网络数据包，并自动解析HTTP的数据包，为用户显示数据包的详细信息，供用户对数据包进行分析。本任务的环境Windows10操作系统安装Wireshark4.2.6进行网络数据包捕获使用phpstudy8.1配置为测试服务器使用DBeaver管理数据库网站程序“CTF-DEMO”已经在教材配套素材中提供“02相关知识相关知识——2.1理解Web应用安全相关知识——2.1理解Web应用安全什么是Web应用的安全？Web应用的安全是保护网络服务在提供信息和交互功能时，能够有效防御各种安全威胁和攻击的一系列措施和策略。在数字化时代，Web应用已成为企业和个人获取信息、进行交易和服务的主要渠道。相关知识——2.1理解Web应用安全Web应用的架构和运行机制Web应用通常由前端界面、后端服务器和数据库等组件构成，它们通过网络协议进行通信和数据交换。在这个过程中，安全问题可能发生在任何环节，如客户端的浏览器、服务器端的应用程序、数据库管理系统等。相关知识——2.1理解Web应用安全Web应用面临的主要安全威胁包括但不限于SQL注入、跨站脚本攻击（XSS）、文件上传漏洞、会话劫持、分布式拒绝服务（DDoS）攻击、数据泄露、服务中断、恶意攻击等。相关知识——2.1理解Web应用安全加固Web应用安全的措施1）输入验证：确保用户输入的数据符合预期格式，防止恶意代码的注入。2）权限控制：实施基于角色的访问控制，确保用户只能访问其权限范围内的资源。3）数据加密：使用SSL/TLS等技术对数据传输进行加密，保护数据在传输过程中的安全。相关知识——2.1理解Web应用安全加固Web应用安全的措施4）安全审计：定期进行安全审计，发现并修复潜在的安全漏洞。5）错误处理：合理处理程序错误，避免泄漏敏感信息。6）更新和补丁管理：及时更新系统和应用程序，修补已知的安全漏洞。好学深思我国院士专家围绕网络安全发展情况、应用场景、存在问题、风险挑战等方面做出了巨大的贡献方滨兴是中国工程院院士、广州大学网络空间先进技术研究院荣誉院长，对网络安全有着深入的研究。方滨兴院士提出了“盾立方”护卫模式，该模式将防御重心从“关注保护对象安全”转变为“关注发现和阻断攻击者”，为国家网络安全防护提供了新思路和新方法。他在网络安全领域的贡献，充分展示了中国在网络入侵防范和攻防对抗技术方面的深厚实力和智慧。相关知识——2.2HTTP基础相关知识——2.2HTTP基础什么是B/S架构？B/S框架（Browser/Server）：浏览器/服务器模式，是Web应用的主流架构方式。在这种架构中，用户通过浏览器（如Chrome、Firefox）作为客户端，与服务器进行交互。服务器端负责处理业务逻辑和数据存储，客户端则负责展示结果。相关知识——2.2HTTP基础什么是C/S架构？C/S架构（Client/Server）：客户端/服务器模式，是一种传统的软件架构方式。在这种架构中，用户需要安装专门的客户端软件来与服务器进行通信。C/S架构：B/S架构：相关知识——2.2HTTP基础什么是HTTP和HTTPS：HTTP：超文本传输协议（HypertextTransferProtocol），是Web应用的基础协议，用于客户端和服务器之间的信息传输。HTTP传输的数据大多是未加密的明文形式，存在比较大的安全隐患。为了保证隐私信息的加密传输，通常使用HTTPS来代替HTTP。HTTPS：安全超文本传输协议（HypertextTransferProtocolSecure），在HTTP的基础上增加了SSL/TLS加密层，确保数据传输的安全性。HTTPS适用于需要加密传输的场景，如网银、电商等。相关知识——2.2HTTP基础什么是URL格式：URL：统一资源定位符（UniformResourceLocator），用于标识互联网上资源的位置，也就是平时所说的完整网址。格式：scheme://host:port/path?query_string#fragment相关知识——2.2HTTP基础什么是URL格式：示例：:8080/path/to/resource?query=123#sectionscheme：协议类型，如http或https。host：服务器域名或IP地址。port：服务器端口，默认80（http）或443（https）。path：资源路径。query_string：查询字符串，用于传递参数。fragment：页面内定位。相关知识——2.2HTTP基础URL格式与Web服务器文件路径：相关知识——2.2HTTP基础HTTP请求：HTTP请求由客户端发起，包含请求行、请求头（Headers）和请求体（Body）三部分。请求行包括请求方法（如GET、POST）、请求的资源URL和HTTP协议版本。相关知识——2.2HTTP基础HTTP请求头的示例和解析：相关知识——2.2HTTP基础HTTP响应：HTTP响应由服务器返回给客户端，包含状态行、响应头（Headers）和响应体（Body）三部分。状态行包括HTTP协议版本、状态码和状态消息。状态码用于表示请求的处理结果，如200表示成功，404表示未找到资源。响应头同样包含了一系列键值对，用于控制响应或传递附加信息。响应体则包含了实际的数据内容。相关知识——2.2HTTP基础HTTP响应头的示例和解析：相关知识——2.2HTTP基础HTTP状态码：HTTP状态码是一系列用于表示服务器对请求处理结果的数字代码。分类描述1xx信息性状态码，表示请求已被接收，继续处理2xx成功状态码，表示请求已成功被服务器接收、理解、并接受3xx重定向状态码，表示需要客户端采取进一步的操作才能完成请求4xx客户端错误状态码，表示请求包含语法错误或无法完成请求5xx服务器错误状态码，表示服务器在处理请求的过程中发生了错误5种HTTP状态码相关知识——2.2HTTP基础HTTP状态码：HTTP状态码是一系列用于表示服务器对请求处理结果的数字代码。状态码描述200OK，请求成功301MovedPermanently，永久重定向302Found，临时重定向404NotFound，未找到资源500InternalServerError，服务器内部错误常见HTTP状态码举例相关知识——2.2HTTP基础HTTP请求方法：HTTP定义了多种请求方法，用于指示服务器执行不同的操作。在实际使用中常使用的是GET方法和POST方法。请求方法描述GET请求指定的页面信息，并返回实体主体POST向指定资源提交数据进行处理请求（例如提交表单或者上传文件）数据被包含在请求体中PUT向指定资源位置上传其最新内容DELETE请求服务器删除Request-URL所标识的资源HEAD类似于GET请求，但返回的响应中没有具体的内容，用于获取报头。OPTIONS允许客户端查看服务器的性能。HTTP请求方法相关知识——2.2HTTP基础GET方法和POST方法的区别：1）用途与功能：GET方法主要用于从服务器获取资源，通常用于读取数据，其请求参数直接附加在URL之后。而POST方法则主要用于向服务器提交数据，常用于新增数据、提交表单等场景，其请求参数包含在请求体中。2）安全性：GET方法由于将参数暴露在URL中，因此安全性较低，不适合传输敏感信息。相比之下，POST方法将参数放在请求体中，对外不可见，因此安全性较高。相关知识——2.2HTTP基础GET方法和POST方法的区别：3）数据量限制：GET方法由于URL长度的限制（通常浏览器和服务器对URL长度有所限制，但并非HTTP协议本身的限制），传输的数据量相对较小。而POST方法则没有这样的限制，可以传输较大的数据量，适用于文件上传等场景。4）缓存与书签：GET请求可以被浏览器缓存，并保留在浏览器历史记录中，还可以被收藏为书签。而POST请求则不会被缓存（除非手动设置），也不会保留在浏览器历史记录中，且不能被收藏为书签。相关知识——2.2HTTP基础GET方法和POST方法的区别：5）回退与刷新：在浏览器中，GET请求的回退操作是无害的，因为只是重新请求之前的资源。但POST请求的回退则可能导致数据被重新提交。同样，GET请求的刷新操作只是重新获取资源，而POST请求的刷新则可能导致数据被重复提交。相关知识——2.3使用Wireshark过滤HTTP数据包相关知识——2.3使用Wireshark过滤HTTP数据包在Wireshark中过滤HTTP请求是一个常见的需求，它可以帮助用户快速定位和分析网络流量中的HTTP通信。相关知识——2.3使用Wireshark过滤HTTP数据包一些常用过滤的请求：1）GET请求：http.request.method=="GET"2）POST请求：http.request.method=="POST"3）通过指定的host头来过滤与特定主机相关的HTTP流量：http.host=="指定的主机名"4）过滤具有特定状态码的HTTP响应：http.response.code==状态码来找出所有返回特定状态码的HTTP响应。5）过滤包含特定URI的请求：http.request.uricontains"部分URI"规则过滤请求URI中包含特定内容的HTTP请求。6）过滤具有特定用户代理的HTTP请求：http.user_agentcontains"7）滤特定类型的内容：http.content_typecontains8）包含特定字符串的URI：http.request.uricontains"特定字符串"9）精确匹配URI：http.request.uri=="/具体路径"相关知识——2.3使用Wireshark过滤HTTP数据包一些常用过滤的请求——举例：相关知识——2.3使用Wireshark过滤HTTP数据包一些常用过滤的请求——举例：相关知识——2.3使用Wireshark过滤HTTP数据包组合过滤条件：可以使用逻辑运算符（如AND、OR、NOT）来组合多个过滤条件。1）同时满足两个条件：条件1&&条件2例如，要过滤出既是GET请求又包含“user”字符串的URI，可以使用http.request.method=="GET"&&http.request.uricontains"user"。2）满足任一条件：条件1||条件2例如，要过滤出所有GET或POST请求，可以使用http.request.method=="GET"||http.request.method=="POST"。相关知识——2.3使用Wireshark过滤HTTP数据包组合过滤条件——举例：假设想要过滤出所有对特定网站（如）的GET请求，并且这些请求的URI中包含“user”字符串，可以使用以下过滤规则：http.host==""&&http.request.method=="GET"&&http.request.uricontains"user"相关知识——2.3使用Wireshark过滤HTTP数据包组合过滤条件——举例：03子任务1子任务1-1捕获网站用户名和密码为了测试网站应用程序的安全性，要求对登录页面的表单安全性进行检测，判断网站管理员的用户名和密码是否会被拦截。选用Wireshark软件捕获目标网站的网络数据包，并自动解析HTTP的数据包，为用户显示数据包的详细信息，供用户对数据包进行分析。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-1用户身份标识和鉴别04子任务2子任务1-2配置登录失败处理功能为了测试网站应用程序的安全性，对登录页面的表单安全性进行检测，已经可以得出结论：网站管理员的用户名和密码会被拦截。当以上现象发生被拦截，需要给出哪些加固的方法和措施？本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-2配置登录失败处理功能经验分享一些常见的方法来保护这些敏感信息，防止它们以明文形式在网络上传输（1）使用HTTPS：确保网站使用HTTPS协议，而不是HTTP。HTTPS通过SSL/TLS加密了客户端和服务器之间的通信，从而保护数据不被窃听或篡改。（2）密码哈希存储：在数据库中存储密码的哈希值，而不是明文密码。当用户登录时，服务器会将用户输入的密码进行哈希处理，然后与数据库中的哈希值进行比较。（3）使用密码哈希算法：使用安全的密码哈希算法，如bcrypt、scrypt或Argon2，这些算法可以抵抗彩虹表攻击和暴力破解攻击。感谢聆听Thanks

课程设计和制作：

蓝永健电子工业出版社《网络信息安全基础》教材配套资源任务2SQL注入漏洞检测和加固——项目九Web应用的安全配置课程设计和制作：

蓝永健电子工业出版社《网络信息安全基础》教材配套资源本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络信息安全基础（AIGC版）》出版社：电子工业出版社主编：蓝永健、徐龙泉副主编：高安邦、石晋阳、钟达夫参编：林俊生、黄超强、肖媚娇出版日期：2026年目录CONTENTS任务规划01相关知识02SQL注入的简介SQL注入分类SQL注入的防御自动化SQL注入工具sqlmap简介子任务1在WEB页面测试SQL注入03子任务2使用sqlmap测试SQL注入04子任务3加固建议和应对0501任务规划任务规划“CTF-DEMO”网站基于PHP+MySQL编写的程序。要求对该网站进行SQL注入检测。如果发现有SQL注入漏洞，则对其他提出修复或者安全加固建议。小安先对“CTF-DEMO”网站采用GET或者POST方式，直接进行SQL注入检测；然后再使用sqlmap工具进行SQL注入检测。如果检测出SQL漏洞，再根据情况给出安全加固建议。本任务的环境Windows10操作系统安装Wireshark4.2.6进行网络数据包捕获使用phpstudy8.1配置为测试服务器使用DBeaver管理数据库网站程序“CTF-DEMO”已经在教材配套素材中提供“本任务的环境下载和安装sqlmap下载和安装Python环境（建议使用PyCharm运行sqlmap）数据库服务器为，数据库名称为dbctf_demo。“02相关知识相关知识——2.1SQL注入的简介相关知识——2.1SQL注入的简介原理概述SQL注入是指攻击者通过向Web应用程序的输入字段（如表单、URL参数等）插入或“注入”恶意的SQL代码片段，从而欺骗数据库服务器执行非授权的任意查询或操作。这些操作可能包括查询、修改、删除数据库中的数据，甚至执行系统命令（如果数据库配置允许的话）。相关知识——2.1SQL注入的简介必要条件①参数用户可控：前端传给后端的参数内容是用户可以控制的。这意味着攻击者可以修改这些参数，以包含恶意的SQL代码。②参数代入数据库查询：传入的参数被拼接到SQL语句中，并且该SQL语句被代入数据库执行。如果应用程序没有对这些参数进行充分的过滤或转义，那么恶意的SQL代码就可能被执行。相关知识——2.1SQL注入的简介工作过程相关知识——2.1SQL注入的简介工作过程1）寻找注入点：攻击者首先尝试找到应用程序中可能存在SQL注入漏洞的输入点，如用户登录表单、搜索查询框等。2）构造恶意SQL语句：攻击者根据找到的注入点，构造包含恶意SQL代码的输入数据。这些恶意SQL代码旨在欺骗数据库执行非授权的操作。3）提交恶意数据：攻击者将构造好的恶意数据提交给Web应用程序。相关知识——2.1SQL注入的简介工作过程4）执行恶意SQL语句：由于应用程序没有对这些输入数据进行充分的过滤或转义，恶意SQL代码被拼接到合法的SQL语句中，并被数据库执行。5）获取敏感信息或执行非法操作：一旦恶意SQL语句被执行，攻击者就可以获取数据库中的敏感信息（如用户密码、个人数据等），或者执行其他非法操作（如删除数据、修改数据等）。SQL注入带来的法律风险在法律层面上，SQL注入所带来的风险是多方面的，涉及到隐私、数据安全、合规性和责任等多个领域。侵犯计算机信息系统罪：非法获取、删除或篡改数据库数据，可能构成刑事犯罪。侵犯公民个人信息罪：窃取用户隐私数据，将面临严厉刑事处罚。破坏生产经营罪：导致系统瘫痪或数据丢失，影响正常业务运营。民事赔偿责任：需承担数据恢复、业务损失及用户索赔等经济赔偿。行政处罚风险：违反网络安全法，将面临罚款、停业整顿等行政处罚。相关知识——2.2SQL注入分类相关知识——2.2SQL注入分类（1）按变量类型分数字型：当输入的SQL语句中的参数为数字时，攻击者可能通过修改这些数字来执行SQL注入。例如，在URL中直接修改ID参数。字符型：当输入的SQL语句中的参数为字符串时，攻击者可能通过在字符串中插入SQL代码片段来执行注入。相关知识——2.2SQL注入分类（2）按HTTP提交方式分GET注入：通过URL的查询字符串（即URL中"?"后面的部分）提交恶意数据。POST注入：通过HTTPPOST请求体提交恶意数据，这种方式常用于表单提交。Cookie注入：通过修改Cookie中的值来执行SQL注入，这种方式较为隐蔽。相关知识——2.2SQL注入分类（3）按注入方式分布尔注入：通过判断SQL查询返回的结果是真还是假（即是否有数据返回），来推断数据库中的信息。联合查询注入（Union-basedInjection）：通过在SQL查询中插入UNIONSELECT语句，将恶意查询的结果与正常查询的结果合并返回。多语句注入（StackedQueries）：允许攻击者在单个SQL查询中执行多条SQL语句。报错注入：利用数据库的错误信息来获取数据库的结构或数据。延时注入（Time-basedBlindSQLInjection）：通过在SQL查询中插入延时函数（如SLEEP），根据查询响应的时间来推断数据库中的信息。内联注入（InlineInjection）：直接在SQL查询中插入恶意代码，改变原有查询的逻辑。相关知识——2.2SQL注入分类（4）按数据库类型分不同的数据库系统（如MySQL、SQLServer、Oracle等）可能有不同的SQL语法和功能，因此SQL注入的具体方式也可能有所不同。。相关知识——2.2SQL注入分类SQL布尔值注入——举例：假设有基于MySQL数据库Web应用程序，它通过URL接收一个ID参数来查询用户信息，URL如下所示：正常情况下，后端可能会执行类似以下的SQL查询然而，如果应用程序没有对用户输入进行充分的过滤，攻击者可以尝试修改URL中的ID参数来执行SQL注入。例如，攻击者可以尝试以下URL：修改后的SQL查询将变为/user.php?id=1SELECT*FROMusersWHEREid=1/user.php?id=1'OR'1'='1SELECT*FROMusersWHEREid='1'OR'1'='1'相关知识——2.2SQL注入分类SQL布尔值注入——举例：由于'1'='1'永远为真，因此这个查询将返回users表中的所有记录，而不是仅返回ID为1的记录。SELECT*FROMusersWHEREid='1'OR'1'='1'相关知识——2.2SQL注入分类SQL联合查询注入——举例：假设有一个基于MySQL数据库的Web应用程序，它有一个页面用于根据用户ID显示用户信息。该页面通过URL接收用户ID作为参数，并执行类似以下的SQL查询：SELECTusername,emailFROMusersWHEREid=$user_id其中$user_id是用户通过URL提交的用户ID，且假设应用程序没有对这个参数进行充分的过滤或转义。攻击者可以尝试修改URL中的用户ID参数，以执行联合查询注入。例如，攻击者可以尝试以下URL/userinfo.php?id=-1'UNIONSELECTdatabase(),user()---相关知识——2.2SQL注入分类SQL联合查询注入——举例：在这个例子中，攻击者做了以下几件事：1）将$user_id设置为-1'（注意单引号闭合了原始查询中的字符串字面量）。2）插入了UNIONSELECTdatabase(),user()，这是一个联合查询，它选择当前数据库的名称（通过database()函数）和MySQL服务器连接的用户名（通过user()函数）。3）添加了---作为SQL注释的开始，用于忽略原始查询中WHERE子句剩余的部分（如果有的话）。修改后的SQL查询将大致如下：/userinfo.php?id=-1'UNIONSELECTdatabase(),user()---SELECTusername,emailFROMusersWHEREid=-1'UNIONSELECTdatabase(),user()---相关知识——2.3SQL注入的防御相关知识——2.3SQL注入的防御为了防止SQL注入攻击，可以采取以下防御措施。（1）使用参数化查询：参数化查询（也称为预处理语句）是防止SQL注入的最有效方法之一。通过将SQL语句中的参数与数据分开处理，可以确保数据不会被解释为SQL代码的一部分。（2）对用户输入进行严格的验证和过滤：对所有用户输入进行严格的验证和过滤，确保它们符合预期的格式和类型。这可以防止攻击者插入恶意的SQL代码。相关知识——2.3SQL注入的防御为了防止SQL注入攻击，可以采取以下防御措施。（3）使用ORM框架：对象关系映射（ORM）框架通常会自动处理SQL注入的风险，因为它们使用参数化查询或其他机制来确保用户输入不会被解释为SQL代码。（4）限制数据库权限：确保Web应用程序使用的数据库账户具有最低的必要权限。这可以防止攻击者通过SQL注入攻击获得对数据库的完全控制权。（5）使用Web应用防火墙（WAF）：WAF可以检测和阻止SQL注入攻击等恶意流量，从而保护Web应用程序免受攻击。相关知识——2.4自动化SQL注入工具sqlmap简介相关知识——2.4自动化SQL注入工具sqlmap简介SQLMap是一款由Python开发的自动化SQL注入工具，其主要功能是扫描、发现并利用SQL注入漏洞。SQLMap内置了许多绕过插件，支持多种数据库，包括但不限于MySQL、Oracle、PostgreSQL、SQLServer、Access、IBMDB2、SQLite等。该工具的强大之处在于其能够识别数据库指纹、枚举数据库内容、提取数据、访问目标文件系统，并在获取完全操作权限时执行任意命令。相关知识——2.4自动化SQL注入工具sqlmap简介（1）SQLMap安装：SQLMap的安装主要依赖于Python环境，因为SQLMap是用Python编写的自动化SQL注入工具。请读者自主完成它的安装。相关知识——2.4自动化SQL注入工具sqlmap简介（2）SQLMap语法：其常用参数涵盖了从目标指定、数据库枚举到数据提取等多个方面。1）目标指定-u或--url：指定目标URL。例如，sqlmap.py-u"/vuln.php?id=1"。--data：在POST请求中发送的数据。例如，sqlmap.py-u"/login.php"--data="username=admin&password=pass"。--cookie：指定HTTPCookie头的值。例如，sqlmap.py-u"/vuln.php"--cookie="PHPSESSID=xxxxx"。--referer：指定HTTPReferer头的值。qlmap.py[选项]-uURL相关知识——2.4自动化SQL注入工具sqlmap简介（2）SQLMap语法：2）数据库枚举--dbs：枚举数据库管理系统中的所有数据库。--current-db：获取当前数据库的名称。-D：指定要枚举的数据库名称。例如，sqlmap.py-u"..."-Ddatabase_name--tables。--tables：枚举指定数据库中的所有表。-T：指定要枚举的表名称。例如，sqlmap.py-u"..."-Ddatabase_name-Ttable_name--columns。--columns：枚举指定表中的所有列。-C：指定要枚举的列名称。例如，sqlmap.py-u"..."-Ddatabase_name-Ttable_name-Ccolumn_name--dump。qlmap.py[选项]-uURL相关知识——2.4自动化SQL注入工具sqlmap简介（2）SQLMap语法：3）数据提取--dump：存储指定数据库表中的数据。可以配合-D、-T、-C参数使用来指定数据库、表和列。--dump-all：存储数据库中的所有数据。qlmap.py[选项]-uURL相关知识——2.4自动化SQL注入工具sqlmap简介（2）SQLMap语法：4）优化和性能--batch：自动选择默认配置，不询问用户。--threads：设置扫描线程的数量，默认为1，最大为10。例如，sqlmap.py-u"..."--threads5。--delay：设置两次请求之间的延迟时间。qlmap.py[选项]-uURL相关知识——2.4自动化SQL注入工具sqlmap简介（2）SQLMap语法：5）检测和绕过--level：设置测试的级别（1-5），级别越高，测试越深入，但也可能导致更多的误报。--risk：设置测试的风险等级（1-3），等级越高，尝试的注入技术越危险，可能导致数据损坏。--tamper：调用特定的脚本来篡改注入数据，以绕过某些安全过滤措施。qlmap.py[选项]-uURL相关知识——2.4自动化SQL注入工具sqlmap简介（2）SQLMap语法：6）其他--os-shell：尝试获取操作系统的shell访问权限（需要数据库具有相应的权限）。--sql-shell：执行指定的SQL命令。--sql-query：执行自定义的SQL查询语句。qlmap.py[选项]-uURL相关知识——2.4自动化SQL注入工具sqlmap简介（3）SQLMap的注入示例检查URL是否存在SQL注入sqlmap.py-u"/vuln.php?id=1"查询当前站点使用的数据库sqlmap.py-u"/vuln.php?id=1"--current-db相关知识——2.4自动化SQL注入工具sqlmap简介（3）SQLMap的注入示例查询当前用户下所有数据库sqlmap.py-u"/vuln.php?id=1"--dbs查询指定数据库中的表名sqlmap.py-u"/vuln.php?id=1"-Ddatabase_name--tables相关知识——2.4自动化SQL注入工具sqlmap简介（3）SQLMap的注入示例查询指定表中的字段名sqlmap.py-u"/vuln.php?id=1"-Ddatabase_name-Ttable_name--columns查询指定字段的内容sqlmap.py-u"/vuln.php?id=1"-Ddatabase_name-Ttable_name-Ccolumn_name--dump03子任务1子任务2-1在WEB页面测试SQL注入“CTF-DEMO”网站基于PHP+MySQL编写的程序。要求对该网站进行SQL注入检测。本任务对“CTF-DEMO”网站采用GET或者POST方式，直接进行SQL注入检测本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务2-1在WEB页面测试SQL注入04子任务2子任务2-2使用sqlmap测试SQL注入“CTF-DEMO”网站基于PHP+MySQL编写的程序。要求对该网站进行SQL注入检测。本任务对“CTF-DEMO”网站使用sqlmap工具进行SQL注入检测。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务2-2使用sqlmap测试SQL注入使用SQLMap的注意事项SQL注入测试应严格遵守职业道德与法律法规，确保授权合规、数据安全。仅限授权测试：必须在获得明确书面授权的前提下，在目标系统上进行测试。避免数据破坏：禁止执行DROP、DELETE等破坏性操作，不得篡改或删除数据。保护隐私信息：如发现敏感数据（如用户信息、商业机密），应立即停止并报告，不得泄露或留存。控制测试强度：避免使用--dump-all等全量导出参数，防止对目标系统造成过大负载。遵守法律法规：严格遵循”网络安全法”等规定，不得利用漏洞进行非法牟利或传播。感谢聆听Thanks

课程设计和制作：

蓝永健电子工业出版社《网络信息安全基础》教材配套资源任务3文件上传漏洞检测和加固——项目九Web应用的安全配置课程设计和制作：

蓝永健电子工业出版社《网络信息安全基础》教材配套资源本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络信息安全基础（AIGC版）》出版社：电子工业出版社主编：蓝永健、徐龙泉副主编：高安邦、石晋阳、钟达夫参编：林俊生、黄超强、肖媚娇出版日期：2026年目录CONTENTS任务规划01相关知识02文件上传漏洞简介文件上传漏洞的利用方式和举例文件上传漏洞的防御子任务1前端JavaScript过滤绕过与非法文件上传03子任务2加固建议和应对0401任务规划任务规划“CTF-DEMO”网站有上传文件的功能，原设计上传文件格式的白名单为jpg、jpeg、png、gif、docx、pdf和doc，要求小安对网站文件上传漏洞进行检测。小安通过在网站中的上传页面，对表单进行上传测试，以确定是否有文件上传漏洞。如果检测出文件上传漏洞，再根据情况给出安全加固建议。本任务的环境Windows10操作系统安装Wireshark4.2.6进行网络数据包捕获使用phpstudy8.1配置为测试服务器使用DBeaver管理数据库网站程序“CTF-DEMO”已经在教材配套素材中提供“本任务的环境数据库服务器为，数据库名称为dbctf_demo。“02相关知识相关知识——2.1文件上传漏洞简介相关知识——2.1文件上传漏洞简介概述文件上传漏洞是Web安全中常见的一种漏洞形式，其主要是由于Web应用程序在处理用户上传的文件时存在安全控制不足或处理逻辑缺陷，导致用户可以上传可执行的脚本文件（如木马、病毒、恶意脚本或WebShell等），并通过这些脚本文件获得执行服务器端命令的能力。相关知识——2.1文件上传漏洞简介文件上传漏洞危害1）代码执行：如果上传的是Web脚本语言文件（如PHP、ASP、JSP等），服务器的Web容器可能会解释并执行这些脚本，导致代码执行。2）诱骗下载执行：上传的文件若为病毒或木马，可用于诱骗用户或管理员下载执行。相关知识——2.1文件上传漏洞简介文件上传漏洞危害3）控制行为：上传Flash的策略文件（crossdomain.xml）时，黑客可用以控制Flash在该域下的行为。当前Flash的使用已经越来越少，但仍有少数网站使用。4）钓鱼欺诈：上传钓鱼图片或包含脚本的图片，在某些版本的浏览器中可能会被作为脚本执行，用于钓鱼和欺诈。5）WebShell控制：攻击者可能上传WebShell到服务器上，完全控制系统或致使系统瘫痪。相关知识——2.1文件上传漏洞简介文件上传漏洞产生原因（工作过程）相关知识——2.1文件上传漏洞简介文件上传漏洞产生原因1）服务器配置不当：服务器对上传文件的处理逻辑存在安全漏洞。2）开源编辑器上传漏洞：使用的开源编辑器本身存在上传漏洞。3）本地文件上传限制被绕过：攻击者通过技术手段绕过本地文件上传的限制。相关知识——2.1文件上传漏洞简介文件上传漏洞产生原因4）过滤不严或被绕过：对上传文件的过滤机制不够严格或存在可被绕过的漏洞。5）文件解析漏洞：服务器在解析上传文件时存在漏洞，导致非预期的文件被执行。文件上传漏洞带来的法律风险文件上传漏洞可能导致多种法律风险，包括刑事责任、民事赔偿及行政处罚。侵犯计算机信息系统罪：非法上传WebShell等后门程序控制服务器，构成刑事犯罪。破坏生产经营罪：上传病毒或恶意程序导致系统瘫痪，影响正常业务运营。侵犯公民个人信息罪：通过漏洞窃取服务器中存储的用户敏感数据。民事赔偿责任：需承担数据恢复、业务中断损失及用户索赔等经济赔偿。行政处罚风险：违反网络安全法，将面临警告、罚款、停业整顿等行政处理。相关知识——2.2文件上传漏洞的利用方式和举例相关知识——2.2文件上传漏洞的利用方式和举例文件上传过程中的检测通常包括客户端JavaScript检测、服务端Content-Type检测、服务端文件扩展名检测、多种绕过方法。相关知识——2.2文件上传漏洞的利用方式和举例（1）后缀绕过攻击者在上传文件时修改文件后缀，以绕过服务器对文件类型的检查。例如，将可执行文件的后缀修改为图片格式（.jpg、.png等）。举例：攻击者将一个名为“malicious_code.php”的PHP恶意脚本文件重命名为“malicious_code.jpg”，然后通过文件上传功能上传至服务器。如果服务器仅通过文件扩展名来判断文件类型，那么该文件可能会被当作图片文件处理，但实际上它包含了可执行的PHP代码。相关知识——2.2文件上传漏洞的利用方式和举例（2）MIME类型检查绕过服务器通常会通过检查文件的MIME类型来验证文件的合法性。攻击者可以通过修改HTTP请求头或篡改文件内容来绕过MIME类型检查。举例：攻击者将一个PHP脚本文件的MIME类型修改为“image/jpeg”，然后通过修改HTTP请求头中的Content-Type字段来欺骗服务器，使服务器认为该文件是一个图片文件。相关知识——2.2文件上传漏洞的利用方式和举例（3）目录遍历攻击者可以利用目录遍历漏洞上传文件到非预期的目录，从而执行任意代码或访问敏感文件。举例：攻击者构造一个包含“../”等特殊字符的文件名，如“../../malicious_code.php”，然后通过文件上传功能将该文件上传到服务器的上级目录中。如果服务器没有正确地对上传文件的路径进行限制，那么该文件可能会被成功上传并执行。相关知识——2.2文件上传漏洞的利用方式和举例（4）文件名截断某些系统对于文件名的长度限制不严格，攻击者可以利用这个漏洞上传带有特殊文件名的文件，导致系统处理异常。举例：攻击者构造一个包含特殊字符（如0x00空字符）的文件名，如“malicious_code.php\0.jpg”，然后尝试上传该文件。在某些系统中，文件名在遇到空字符时会被截断，因此该文件可能会被当作“malicious_code.php”处理并执行。举例：%00会被解析为0x00，所以导致截断的发生我们通过截断成功的绕过了后缀限制相关知识——2.2文件上传漏洞的利用方式和举例（5）上传路径限制绕过服务器通常会限制上传文件的路径，但攻击者可以通过上传特殊构造的文件名或修改请求来绕过这个限制。举例：攻击者通过修改HTTP请求中的某些参数（如POST请求中的字段）来绕过路径限制，将文件上传到不允许的目录中。相关知识——2.2文件上传漏洞的利用方式和举例（6）执行恶意代码攻击者上传包含恶意代码的可执行文件后，通过路径遍历或其他方法来执行该代码。举例：攻击者上传一个包含WebShell的PHP文件到服务器后，通过浏览器或其他工具访问该文件并执行其中的恶意代码。相关知识——2.3文件上传漏洞的防御相关知识——2.3文件上传漏洞的防御文件上传漏洞是Web安全中一个需要高度重视的问题，通过严格的验证和过滤、使用白名单方式、重命名上传文件、设置不可执行目录以及部署安全设备等措施，可以有效防范此类漏洞的发生。相关知识——2.3文件上传漏洞的防御1）严格验证和过滤上传文件：在客户端和服务器端分别对上传文件的类型、大小、内容等进行严格验证和过滤。2）使用白名单方式：强烈推荐使用白名单方式检查文件类型，避免黑名单方式可能存在的漏网之鱼。3）重命名上传文件：使用随机数改写文件名和文件路径，增加攻击成本。相关知识——2.3文件上传漏洞的防御4）设置不可执行目录：将文件上传的目录设置为不可执行，防止即使上传了脚本文件也无法执行。5）部署安全设备：使用专业的安全设备对上传行为进行监测和防御。6）定期安全扫描和更新：定期使用安全检测工具对系统进行扫描，及时发现并修复潜在漏洞，同时关注第三方插件和框架的更新情况，及时进行更新。03子任务1子任务2-1前端JavaScript过滤绕过与非法文件上传“CTF-DEMO”网站有上传文件的功能，原设计上传文件格式的白名单为jpg、jpeg、png、gif、docx、pdf和doc，要求对网站文件上传漏洞进行检测。任务要求：通过在网站中的上传页面，对表单进行上传测试，以确定是否有文件上传漏洞。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务2-1前端JavaScript过滤绕过与非法文件上传04子任务2子任务2-2加固建议和应对“CTF-DEMO”网站有上传文件的功能，原设计上传文件格式的白名单为jpg、jpeg、png、gif、docx、pdf和doc。检查结论：网站存在文件上传漏洞进行检测。任务要求：如果检测出文件上传漏洞，再根据情况给出安全加固建议。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务2-2加固建议和应对注意事项做网络安全加固时，对文件上传漏洞测试时的注意事项仅限授权范围测试：必须在获得明确授权的情况下，在指定测试环境中进行。避免破坏性操作：禁止上传可造成系统破坏或数据丢失的恶意文件。隔离测试环境：使用独立测试服务器，避免影响生产系统。及时清理测试文件：测试完成后立即删除所有上传的测试文件。不泄露测试方法：测试细节和漏洞利用方式仅向授权方报告，不得公开传播。感谢聆听Thanks

课程设计和制作：

蓝永健电子工业出版社《网络信息安全基础》教材配套资源任务4XSS漏洞检测和加固——项目九Web应用的安全配置课程设计和制作：

蓝永健电子工业出版社《网络信息安全基础》教材配套资源本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络信息安全基础（AIGC版）》出版社：电子工业出版社主编：蓝永健、徐龙泉副主编：高安邦、石晋阳、钟达夫参编：林俊生、黄超强、肖媚娇出版日期：2026年目录CONTENTS任务规划01相关知识02XSS漏洞的简介和分类XSS漏洞的利用方式和举例XSS漏洞的防御子任务1XSS漏洞检测03子任务2加固建议和应对0401任务规划任务规划“CTF-DEMO”网站有发布在线留言的功能，在网页中设计了表单收集用户写的留言内容，点击提交按钮后能把留言的内容保存到数据库中。其他用户可以查看发布的留言信息。考虑到有表单提交到数据库中的信息，可能会存在WEB安全隐患，要求小安对网站的XSS漏洞进行检测。小安通过在网站中的留言发布页面，对表单进行填写测试，以确定是否有XSS漏洞。如果检测出XSS漏洞，再根据情况给出安全加固建议。本任务的环境Windows10操作系统安装Wireshark4.2.6进行网络数据包捕获使用phpstudy8.1配置为测试服务器使用DBeaver管理数据库网站程序“CTF-DEMO”已经在教材配套素材中提供“本任务的环境数据库服务器为，数据库名称为dbctf_demo。“02相关知识相关知识——2.1XSS漏洞的简介和分类相关知识——2.1

XSS漏洞的简介和分类概述XSS漏洞，全称跨站脚本（CrossSiteScripting），是一种安全漏洞，它允许攻击者向web页面（如input表单、URL、留言板等位置）插入恶意JavaScript代码。当管理员或用户访问这些页面时，恶意脚本会触发并执行，从而达到攻击者的目的。相关知识——2.1

XSS漏洞的简介和分类形成的主要原因XSS漏洞形成的主要原因是服务器对用户提交的数据过滤不严。攻击者可以构造特定的脚本语句，使得这些输入内容被当作HTML的一部分来执行。当用户访问到这些含有恶意脚本的页面时，浏览器会将用户的输入当作JavaScript代码执行，从而可能获取用户的敏感数据（如cookie数据）。相关知识——2.1

XSS漏洞的简介和分类（1）反射型XSS（ReflectedXSS）反射型XSS是非持久性、参数型跨站脚本。攻击者通过电子邮件等方式将包含XSS代码的恶意链接发送给目标用户。当目标用户访问该链接时，服务器接收该目标用户的请求并进行处理，然后服务器把带有XSS代码的数据发送给目标用户的浏览器，浏览器解析这段带有XSS代码的恶意脚本后，就会触发XSS漏洞。相关知识——2.1

XSS漏洞的简介和分类（1）反射型XSS（ReflectedXSS）这种攻击方式往往具有一次性，且所见即所得。它依赖于攻击者构造的特定URL，一旦用户点击或访问这个URL，恶意脚本就会被反射回用户的浏览器并执行。由于反射型XSS攻击依赖于用户实时点击恶意链接，因此攻击的成功与否通常取决于用户的即时反应。相关知识——2.1

XSS漏洞的简介和分类（1）反射型XSS（ReflectedXSS）工作过程举例相关知识——2.1

XSS漏洞的简介和分类（2）存储型XSS（StoredXSS）存储型XSS是持久性跨站脚本，持久性体现在XSS代码被写进数据库或文件等可以永久保存数据的介质中。攻击者提交一段XSS代码后，服务器接收并存储，当其他用户访问包含该XSS代码的页面时，XSS代码被浏览器解析并执行。相关知识——2.1

XSS漏洞的简介和分类（2）存储型XSS（StoredXSS）提交的恶意内容会被永久存储，因此一个单独的恶意代码就会使多个用户受害。它通常发生在论坛、博客和留言板等允许用户提交数据的场景中。由于恶意脚本被保存在服务器端，攻击者无需每次都发送恶意链接给用户，这增加了攻击的隐蔽性。存储型XSS漏洞的危害极大，攻击者可以利用它执行各种恶意操作，包括但不限于窃取用户的敏感信息（如cookie数据、个人身份信息等）、控制用户的浏览器、重定向用户到恶意网站、更改页面内容以欺骗用户等。相关知识——2.1

XSS漏洞的简介和分类（2）存储型XSS（StoredXSS）工作过程举例相关知识——2.1

XSS漏洞的简介和分类（3）DOM型XSSDOM型XSS是一种特殊的XSS攻击方式，其攻击载荷（payload）由于修改受害者浏览器页面的DOM树而执行。DOM全称DocumentObjectModel，中文为文档对象模型，使用DOM可以使程序和脚本能够动态访问和更新文档的内容、结构及样式。DOM型XSS的攻击过程完全在客户端执行，不需要与服务器端进行交互。相关知识——2.1

XSS漏洞的简介和分类（3）DOM型XSSDOM型XSS的攻击代码不会传到服务器上，这使得它比较难以检测。攻击者通过修改页面的DOM结构来插入恶意脚本，从而执行攻击。由于DOM是在客户端修改节点的，所以基于DOM型的xss漏洞不需要与服务器端交互，它只发生在客户端处理数据的阶段。相关知识——2.1

XSS漏洞的简介和分类（3）DOM型XSS的工作过程举例XSS漏洞带来的法律风险XSS上传漏洞可能导致多种法律风险，包括刑事责任、民事赔偿及行政处罚。刑事责任：利用XSS漏洞获取、篡改、删除用户数据或破坏系统，可能构成“非法获取计算机信息系统数据罪”或“破坏计算机信息系统罪”，面临刑事处罚。民事责任：攻击行为若造成用户隐私泄露、财产损失，攻击者需承担民事赔偿责任，包括数据恢复、用户赔偿等。相关知识——2.2XSS漏洞的利用方式和举例相关知识——2.2

XSS漏洞的利用方式和举例XSS漏洞（Cross-SiteScripting）主要分为三种类型：反射型、存储型和DOM型。相关知识——2.2

XSS漏洞的利用方式和举例（1）反射型XSS（ReflectedXSS）的利用方式反射型XSS是临时性的，指注入的代码不在后端存储，但会在服务器端进行处理然后回显给用户。攻击者通过构造一个包含恶意脚本的URL，诱骗用户点击该链接，当用户访问该链接时，恶意脚本会被执行。相关知识——2.2

XSS漏洞的利用