- 博客(5)
- 收藏
- 关注
原创 DVWA练习之SQL Injection
DVWA练习之SQL Injection本博客将记录在web安全问题中一种常见的漏洞——“SQL注入”漏洞的实践演练。首先阐述SQL注入漏洞的概念,原理,最后展示基于DVWA的各种等级的SQL注入漏洞。SQL注入概念:指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。SQL注入漏洞的危害是巨大的,常常会导致整个数据库被“脱裤”,尽管如...
2018-08-27 10:03:31
1486
原创 DVWA练习之File Upload
DVWA练习之File Upload本博客将记录在web安全问题中一种常见的漏洞——“文件上传”漏洞的实践演练。首先阐述文件上传漏洞的概念,原理,最后展示基于DVWA的各种等级的文件上传漏洞。文件上传概念:通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限。DVWA文件上传 DVWA(Damn...
2018-08-24 10:35:33
410
原创 DVWA练习之CSRF
DVWA练习之CSRF本博客将记录在web安全问题中一种常见的漏洞——“CSRF”漏洞的实践演练。首先阐述CSRF漏洞的概念,原理,最后展示基于DVWA的各种等级的CSRF。CSRF概念CSRF(cross-site request forgery):跨站请求伪造漏洞。 概念:利用用户已登录的身份,在用户毫不知情的情况下,以用户的名义完成非法操作。DVWA跨站请求...
2018-08-22 11:04:10
2502
2
原创 DVWA练习之File Inclusion
DVWA练习之File Inclusion本博客将记录在web安全问题中一种常见的漏洞——“文件包含”漏洞的实践演练。首先阐述文件漏洞的概念,原理,最后展示基于DVWA的各种等级的文件包含漏洞。文件包含概念:指当服务器开启allow_url_include选项时,就可以通过php的某些特性函数,利用url去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文件读取或者任...
2018-08-22 11:03:54
1350
1
原创 DVWA练习之Command Injection
DVWA命令注入练习本博客将记录在web安全问题中一种常见的漏洞——“命令注入”漏洞的实践演练。首先阐述命令注入漏洞的概念,原理,最后展示基于DVWA的各种等级的命令注入过程。命令注入概念:通过web应用程序在服务器上拼接系统命令。 也就是说命令注入中的命令指的是系统命令,而注入是通过拼接来完成注入。 系统 命令 windows DOS Li...
2018-08-19 14:17:59
527
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人