课题:网页设计与制作
专业:通信工程
班级:
学号:
一.实验任务:
设计制作一个《网页设计与制作》精品课程网站
二.实验要求:
(1)站点目录: 要求层次分明,不能将内容都放在站点根目录下;不要使用中文;为每种类型文件都建立一个独立的目录。(例如images文件夹用于存放图象,目录的层次不能没有,但必须尽量少,以便于管理 。)
(2)填写网站设计报告: 必须认真填写网站设计报告中的每一项,完成网站结构的设计说明,包括以下各项内容:
1) 网站主题:必须围绕一个确定主题创建网站,否则成绩以不及格计。
2) 站点名称:必须为自己的站点命名,名称要紧扣站点主题,并反映在每个网页上。
3) 站点根文件夹:以个人学号及姓名命名。
4)文件与文件夹:网站内使用的图片放在images文件夹中,主页以index.htm命名,其它文件夹自已命名,要以有意义的英文字母来命名,不要使用中文,网页文件也要使用有意义的英文来命名。
5) 站点结构:分类存放网站中的资源,一律以树型目录结构表示并说明文件夹的用途。
6) 站点地图:以结构图方式给出网页的名称和各页面间的超级链接。
7) CSS、行为:说明制作、使用了几个CSS样式,说明CSS样式的名称,为什么内容添加、制作了什么行为。
2. 网站内容要求 (3人一组)
(1)网站至少要有8个页面,可以使用表格、框架等来进行统一布局。
(2)网站的站标(Logo)使用自已制作的图像,网站名称自已命名,要跟网站的主题一致。
(3)按提供的课件等资料添加链接或下载功能。
(4)每个网页有自己的适当的标题、导航条。注意:网页标题是指显示在浏览器标题栏上的文字,而不是网页中的段落标题。每个网页都能够返回上一级页面或首页。
(5)网站中要使用CSS,要使用行为制作动态效果,超链接效果正确无误,要有锚点链接,要有背景音乐,要能够提供文件下载,要有flash动画。 可添加视频文件等。
三.实验内容:
该网站设计共使用了9个HTML页面。
采用了frame框架结构:由frame1,frame2,frame4,及相关页面构成。 进入shouye.html后,播放背景音乐;
frame2中点击各个选项,分别跳转到相关界面; 资料页面:采用链接,可实现课件资源的调用;
Flash页面:实现了锚点连接,超链接,flash图像的播放
留言板:代码中写入了相关留言,可点击查看。
设计中使用了CSS的设计,菜单界面歌词部分使用了表格结构,共调用了3个CSS方法;名字分别为:.unnamed1,.text和.bt。内容如下:
.unnamed1 {
}
.text {font-family: Arial, sans-serif;
text-align:right;
}
.bt {font-family:"宋体";
color:#F60;
}
分别对字体,大小及颜色进行各自不同的设置; font-size: 13px; line-height: 16px;
留言板部分也使用了div进行布局;
超链接正常无误,均能返回上一层;点击“返回菜单”后各页面均可回到主页面。 效果如下:
结构图: 文件夹图片flash图片
根目录文件夹音乐文件
文件夹课件压缩包
页面
实验总结:
通过本次的Web实验,我对网页制作及开发有了更深层的了解。制作过程中,运用了框架,链接,CSS等方法。不仅完成页面的跳转,也实现了本地保存资料,锚点连接,flash等功能。对于网页制作的工具及使用,我有了进一步的熟悉和了解。
制作过程中遇到了一些问题,但在同学的帮助下,都克服了困难。这些经历让我对设计细节有了更详细的关注,是十分宝贵的人生经验。我对网页的设计存在着浓厚的兴趣,希望在今后的时间里,我还能有更多的机会接触到WEB这门知识。
Experiment List of Web Security, 09-2011
注意:
1、此guide仅供参考,每个任务都可能有不同的做法。
2、赵欣、苏淦、从梓存、张穗云这四位同学实验报告做得很不错,在此我一并附上供大家参考。
3、请大家亲自完成自己的实验,那怕是对着参考操作一遍也是有益处的。如发现有直接copy的同学,不要说我辣手无情啊。
Part I:Cross-Site Scripting (XSS) 第十四周
l 目标:
n 了解什么是XSS攻击及两类XSS攻击(reflect XSS,stored XSS)的区别
n 实践常用XSS攻击手段:找出实验平台的两类XSS漏洞
l 任务:
1. 使用实验平台的上传文件功能上传一个文件,有安全漏洞吗?如果有,怎么利用?
TIPS:
可以上传任意格式的文件,实验平台没有对文件内容进行过滤,直接上传一个html文件,包含以下内容
<html>
<head>
<title>hello gruyere </title>
</head>
<body>
<h1> hello gruyere </h1>
<script type="text/javascript">
alert("cookies:"+document.cookie);
</script>
</html>
2. 找出一个reflect XSS攻击,目标是当我们点击一个特定的URL就会执行一个由攻击者指定的脚本。
TIPS:
试试访问以下URL:
http://127.0.0.1:8080/123/snippets.gtl?uid=<script>alert("hello xss")</script>
3. 利用实验平台中的AJAX特性找出一个可以执行任意脚本的URL。
TIPS:
查看网页的js脚本lib.js可以发现处理ajax请求的页面为feed.gtl
分析lib.js中的ajax操作是如何处理的
试试访问以下URL:
http://127.0.0.1:8080/123/feed.gtl?uid=<script>alert("hello ajax xss")</script>
4. 找出一个stored XSS攻击,目标是将一个攻击者指定的脚本放到实验平台上,然后别的用户浏览相关页面时会执行这个指定的脚本(提示:使用new snippet的创建功能)。
TIPS:
试试创建内容的snippet
<a ONMOUSEOVER="alert('hello,xss')" href="#"> readthis</a>
鼠标移到刚刚创建好的snippet中的readthis连接会发生什么呢
5. 通过对HTML attribute插入一个特定的value同样能构造一个stored XSS攻击(提示尝试通过profile中的color设置来插入一个指定的脚本)。
TIPS:
请试试在profile中设置color的字段中输入
red' onmouseover='alert("hello xss")
来到主页当你把鼠标移动到你变成红色的用户名时,自然会发生一些事情
6. 你还能找到其它的XSS攻击吗?如果有,请描述一下你的发现。
TIPS:
还有其它的哦,聪明的你一定能发现的
Part II:Client-State Manipulation,Cross-Site Request Forgery (XSRF) and Cross Site Script Inclusion (XSSI) 第十五周
l 目标:
n 了解什么是Client-State Manipulation,XSRF及XSSI攻击
n 利用实验平台实践Client-State Manipulation,XSRF及XSSI攻击手段
l 任务:
1. 将你的普通用户账号的权限提升成为管理员权限。
TIPS:
试试将以下URL中myid代替为你自己的用户名然后访问
http://127.0.0.1:8080/123/saveprofile?action=update&uid=myid&is_admin=True
退出再登陆就会有效果
2. 如何通过操纵cookie从而能登陆进其它人的用户帐号。
TIPS:
用工具查看浏览器中访问juyere平台留下的cookie,它的格式是什么呢?
假设已有一个用户foo
注册一个新用户foo|admin|author
使用这个新注册的用户登陆
3. 构造一个XSRF攻击:访问一个页面后,悄悄的删除一条已经登陆的用户的snippet
TIPS:
在已经登陆并且有至少一条snippet的情况下,试试访问以下链接:
http://127.0.0.1:8080/123/deletesnippet?index=0
再次查看snippets,你最新的snippet已经被删除。
4. 通过使用一个XSSI攻击来读取某个登陆用户的private snippet
TIPS:
创建一个内容如下的HTML文件并且用浏览器打开
<html>
<body>
<script>
function _feed(s) {
alert("Your private snippet is: " + s['private_snippet']);
}
</script>
<script src="http://127.0.0.1/123/feed.gtl"></script>
</body>
</html>
5. 你还能找到其它的与Client-State Manipulation,XSRF及XSSI相关的攻击吗?请描述一下你的发现。
TIPS:
还有其它的哦,聪明的你一定能发现的
Part III:Path Traversal,Denial of Service and Code Execution 第十六周
l 目标:
n 了解什么是Path Traversal,Denial of Service及Code Execution攻击
n 通过实验平台实践Path Traversal,Denial of Service及Code Execution攻击
l 任务:
1. 找出一种方法通过浏览器来读取实验平台WebRoot目录下的secret.txt的内容。
2. 找出一种方法通过浏览器来修改实验平台WebRoot目录下的secret.txt的内容。
3. 找出一种最简单的DoS攻击:使得实验平台的server退出。
4. 构造一个针对实验平台Server的Overloading DoS攻击,使得实验平台的server处理一个请求负荷过多而不能正常处理其它请求。(提示:使用2中的方法修改特定文件)
5. 请说明实验平台可能存在的Code execution exploit。
6. 你还能找到其它的与Path Traversal,Denial of Service及Code Execution相关的攻击吗?请描述一下你的发现。
Part IV:Configuration Vulnerabilities and AJAX vulnerabilities 第十七周
l 目标:
n 了解什么是Configuration Vulnerabilities 及AJAX vulnerabilities
n 实践利用实验平台的Configuration Vulnerabilities及AJAX vulnerabilities
l 任务:
1. 通过实验平台的一个不正确的配置漏洞来读取数据库里的内容并且获得管理员权限。(提示:WebRoot文件夹中有没有什么实验平台运行额外功能的东西?)
2. 1中的不正确配置漏洞,通过删除多余的不需要的东西我们可以稍微修复这个漏洞,但是我们依然可以根据同样原理构造一个类似的攻击,如何实现?
3. 找到一个与AJAX相关的攻击:这个攻击可以使得用户在主页中不能读取自己的private snippet(这个攻击应该在点击了"refresh"链接后触发)
4. 构造一个AJAX Phishing攻击使得页面右上角的"sign in"链接点击后跳转到http://www.sysu.edu.cn(这个攻击应该在点击了"refresh"链接后触发)
5. 你还能找到其它的与Configuration Vulnerabilities 及AJAX vulnerabilities相关的攻击吗?请描述一下你的发现。
实验名称:BTB 模拟实验
实验目的:通过动手实验,浏览电子商务教学实验系统 BTB 子系统;了解电子商务教学实验系统 BTB子系统中各个角色的功能 ;掌握电子商务 BTB 系统中商品交易流程掌握企业与企业之间的电子商务,系统中体现为厂家与商场,厂家与出口商之间的交易。涉及到的角色有:厂家、商场(出口商)、物流、银行。
实验内容和步骤:
1. 厂家是系统中产品的最终供应商,厂家用户在注册成功后,首先要通过生产来建立自己的产品库。
2. 拥有了自己的产品库,厂家需要通过各种网络途径宣传自己的产品,让更多的采购商了解和订购。最主要的宣传方式之一是进入商贸网站(因为商贸网站是企业供求信息集中的发布平台),注册成为商贸网站的用户,发布供应信息和产品信息。
3. 而商场和出口商想要获得商品,必须通过向厂家采购,他们在浏览商贸网站时,查找到想要采购商品的供应信息,并利用商贸网站进行在线询价。
4. 采购商的在线询价信息会自动发送并收录到厂家后台的销售管理/询价信息里,厂家需要对新的询价信息进行报价处理,选择要报价的产品并填写报价数量和单价。报价处理会产生报价单,并发送给采购商。
5. 供应商收到来自厂家的报价单,在确认要向该厂家采购某产品后,拟定新的购销合同并发送给相应的厂家。供需双方经过合同洽谈的过程,最终确认合同的具体内容。
6. 确认合同之后,厂家需要组织发货,系统中的货物配送全部是由第三方物流企业,即物流用户承担的。进入物流配送平台,选择不同的物流企业可以查看到他们的资费标准以及车辆情况,决定由哪一家物流企业完成此次配送,选择要配送的合同号提交配送单。
7. 物流企业受理该新的配送单,自动产生入库运输单,处理入库运输单时指定车辆和驾驶员,发送车辆到目的地接货。
8. 此时厂家用户提交的配送单状态提示需要出库,在处理出库之后,产品装载到运输车辆并运送到物流仓库。
9. 物流仓库收到货物后,处理自动产生的入库单,选择仓库让货物入库。入库后的货物存放在物流仓库内,要完成配送,物流需要进入后台的配送管理/拣货装车,对仓库内的货物进行运输分配。
10. 根据上一步拣货装车的运输分配系统会自动产生出库运输单,物流处理相应的出库运输单,最后处理生成的货物出库单,仓库内的货物就装车运往目的地。
11. 物流货物发出后采购商会在采购管理/收货确认里收到采购的产品,确认入库,本次交易结束。
12. 在交易的过程中,会产生厂家与采购商(商场和出口商)之间的应收应付帐,物流企业与厂家的应收应付帐,系统会自动记录。用户需要查看相应的应收应付记录,了解自己企业的应收应付帐目情况。对于应付帐,可以通过银行转帐进行支付,而应收帐,也需要等待或催促对方付款。通过应收应付核销功能,可以核销应收与收款,应付与付款记录。
实验结论:
1、我在实验中扮演的是厂商角色,其主要功能和作用是提供货源。
2、网上商城、生产企业、物流公司三者互相合作,共同完成一次交易活动。
①网上商城,是一个卖方信息的发布与买方信息的获得平台,是一个网上信息中介。卖方可以再网上商城发布产品信息,进行产品的推广。买方通过网上商城,找到需要的商品,并在此与生产企业签订合同。
②生产企业,即卖方,通过支付一定的费用,将自己的产品等各方面的信息发布在网上商城。与客户签订合同后,通过物流公司将商品发给客户。
③物流公司,为商品和服务的配送提供了传输渠道。在接到生产企业的订单后,将制定货物送至目的地。物流的高效运作是电子商务的必要条件。
3、用流程框图或表格的形式表示出B2B的整个流程
PS:①客户在网上进行选择之前,需要买卖双方都是网上商城的注册用户。
②生产企业报价的环节,如果买家接受价格,则交易继续;如果买家不接受价格,则双方洽谈失败,交易无法继续,买家可以寻找另外的生产商。
③生产企业向物流公司下订单后,支付一定的费用,由物流公司配送商品或服务。其间,生产企业在产品出库时编制产品出库单。
④客户支付货款可以选择通过网银、网上支付平台、线下转账、货到付款等方式。
实验名称BTB模拟实验实验目的通过动手实验浏览电子商务教学实验系统BTB子系统了解电子商务教学实验系统BTB子系统中各个角色的功能…
实验三B2B实验【实验前准备阶段】1.实验老师提前完成班级的注册,并进入管理员模式进行激活。2.提前一周时间让学生在相应的实验班级…
电子商务B2B实验报告课程名称姓名学院班级学号电子商务B2B实验报告周婵婵工学院物流工程111班3131113020xx年12月2…
B2B实验报告一实验目的与要求1熟悉并掌握B2B商务流程2掌握各个角色的任务作用分析各贸易伙伴之间的关系并配合完成B2B交易二实验…
B2B实验报告实验概述实验目的及要求学习B2B实习软件了解学习商品的流通过程了解网上商城生产企业和物流在B2B系统中的功能和作用掌…
课程设计报告书20**/20**学年第1学期设计题目:Web网页制作实验报告年级专业:08级市场营销姓名学号:指导老师:经济管理系…
WEB系统开发综合实验报告题目红尘客栈网上订房页面专业计算机科学与技术信息技术及应用班级学生重庆交通大学20xx年目录一设计目的3…
Web前端技术实验报告课程名称Web前端技术实验名称html网页设计系别班级计科系1302班学生姓名余洲杰学生学号20xx1002…
一,相关技术为实现注册和登录功能,首先采用JSP和HTML分别设计regist和login页面,再采用servlet技术实现这两项…
河南科技大学实验报告实验名称Web开发技术题目web开发环境的建立学院国际教育学院班级学号计算机131131425020xx9学生…
七、设计总结:1)、首先确定网站的目标是关键,明确谁是网站将来的访问者。确保目标和主题明确、数据充分并保持目标的简洁性。其次是确定…