Лабораторна робота 1

Інформація про навчальний заклад

ВУЗ:
Національний університет Львівська політехніка
Інститут:
ІКТА
Факультет:
КН
Кафедра:
ЗІ

Інформація про роботу

Рік:
2022
Тип роботи:
Лабораторна робота
Предмет:
Аудит інформаційної безпеки
Варіант:
6 загальний

Частина тексту файла

МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ НАЦІОНАЛЬНИЙ УНІВЕРСИТЕТ «ЛЬВІВСЬКА ПОЛІТЕХНІКА»
ІКТА кафедра ЗІ З В І Т до лабораторної роботи 1 з курсу: «Аудит інформаційної безпеки» на тему: «Встановлення OWASP WebGoat та базові засади роботи з веб-додатком» Варіант - 6
Львів 2021 ЗАВДАННЯ 1. Запустіть веб-додаток WebGoat та проксі-сервер WebScarab (інструкції щодо інсталяції та використання яких описані вище).
2. Переконайтесь, що налаштування проксі-сервера Вашого браузера відповідають вимогам, зазначеним вище.
3. Оберіть цікавий для Вас урок. В даному випадку ми обриємо урок «Numeric SQL Injection», розташований за посиланням: http://localhost:8080/WebGoat/attack?Screen=77&menu=1100.
4. У відкритому вікні WebScarab активуйте пункт «Intercept requests» та оберіть методи GET та POST (у випадку їхньої активності фон методів позначений синім кольором) (рис. Д1.6). Рис. Д1.6. Вікно WebScarab
5. Обираємо метеостанцію «Columbia» та клікаємо на кнопці «Go!». В цей час WebScarab
6. Уважно прочитайте опис завдання та підказки, зазначені на сторінці уроку.
7. В даному випадку представлена форма (рис. Д1.7) дозволяє перегляд погоди для обраної метеостанції. Необхідно модифікувати SQL-запит таким чином, щоб як результат ми отримали погоду всіх присутніх метеостанцій, тобто всі дані таблиці. Для здійснення SQL-запитів використовується наступний синтаксис команд: SELECT * FROM weather_data WHERE station = [station] перехоплює запит до сервера. Використовуючи можливості даного програмного забезпечення, ми змінюємо значення змінної station з 101 (це визначений для станції параметр) на 101 OR 1=1 та приймаємо дані зміни, натиснувши кнопку «Accept changers» (рис. Д2.8). Аудит інформаційної безпеки 7 практична робота 1 Рис. Д1.7. Урок Numeric SQL Injection Рис. Д1.8. Використання WebScarab для внесення змін в SQL-запит Аудит інформаційної безпеки 8 практична робота 1
8. Вираз 1=1 є завжди істиною (true), тому буде обрано всі дані з таблиці «weather_data». Власне результат представлений на рис. Д1.9
РЕЗУЛЬТАТИ ВИКОНАННЯ РОБОТИ 1. Встановлення WebGoat. / Рисунок 1. Розпакування архіву в робочу папку / Рисунок 2. Запуск аплікації / Рисунок 3. Відпрацювання Tomcat / Рисунок 4. Сторінка WebGoat
/ Рисунок 5. Встановлення WebScarab
/ Рисунок 6. Встановлення WebScarab в якості проксі-сервера / Рисунок 7. Налаштування WebScarab
/ Рисунок 8. Відправка нормального запиту
/ Рисунок 9. Відкриття веб-консолі
/ Рисунок 10. SQL-ін'єкція
/ Рисунок 11. Наслідки виконання SQL-ін'єкції
Висновки: під час виконання даної практичної роботи було встановлено веб-аплікацію WebGoat та проксі-сервер WebScarab. Було успішно здійснено SQL-ін’єкцію на WebGoat, що призвело до видачі прихованих даних.
Антиботан аватар за замовчуванням

01.01.1970 00:01

Коментарі

Ви не можете залишити коментар. Для цього, будь ласка, увійдіть або зареєструйтесь.

Оголошення від адміністратора

Антиботан аватар за замовчуванням

пропонує роботу

Admin

26.02.2019 12:38

Привіт усім учасникам нашого порталу! Хороші новини - з‘явилась можливість кожному заробити на своїх знаннях та вміннях. Тепер Ви можете продавати свої роботи на сайті заробляючи кошти, рейтинг і довіру користувачів. Потрібно завантажити роботу, вказати ціну і додати один інформативний скріншот з деякими частинами виконаних завдань. Навіть одна якісна і всім необхідна робота може продатися сотні разів. «Головою заробляти» продуктивніше ніж руками! :-)

Завантаження файлу

Якщо Ви маєте на своєму комп'ютері файли, пов'язані з навчанням( розрахункові, лабораторні, практичні, контрольні роботи та інше...), і Вам не шкода ними поділитись - то скористайтесь формою для завантаження файлу, попередньо заархівувавши все в архів .rar або .zip розміром до 100мб, і до нього невдовзі отримають доступ студенти всієї України! Ви отримаєте грошову винагороду в кінці місяця, якщо станете одним з трьох переможців!
Стань активним учасником руху antibotan!
Поділись актуальною інформацією,
і отримай привілеї у користуванні архівом! Детальніше

Новини