网站中的漏洞一直都让管理人员头痛,我们来了解如何利用web漏洞以提高安全防范意识
首先进行部署行动,DVWA(Damn Vulnerable Web Application)是randomstorm的一个开源项目。一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程,我们以DVWA为工具进行漏洞攻击演练。
一、登录绕过
在用户登录界面输入敏感字符 ' 测试登陆框是否存在注入
发现进入受保护页面,说明存在SQL注入,通过观察地址栏信息,构造永真语句 admin' or 1=1 --' 再次登录,观察能否登录:
发现可以直接登录。这是SQL注入漏洞,危害性很大。
二、命令注入
找到可以提交字符的地方,我们输入一个IP地址,创造命令行执行环境,然后可以输入命令来让系统做出行动,比如我们让本机进行延迟关机:本机IP&&shutdown -s -t 600(延迟10分钟关机)