DVWA
文章平均质量分 76
C-learning
这个作者很懒,什么都没留下…
展开
-
DVWA—brute force
一、Low级别本次采用burp来完成破解。①拦截②点击Action,发送到Intruder。并点击clear,然后将password=处添加,让其变为变量。③字典破解,Load处添加一个简单字典,开始破解观察长度,只有password不一样。可知密码为:password最后验证,登陆成功。其实这个级别也可以用sql注入来破解。如输入账户为:admin’ or ‘1’='1,密码任意。二、Medium级别①字典破解,这个级别同样可以用一些字典,轻松破解。和Low级别类似。密码原创 2021-04-24 21:14:52 · 156 阅读 · 0 评论 -
DVWA——文件包含
File Inclusion学习文件包含简介实战:DVWA——文件包含文件包含简介一、文件包含简介:服务器执行PHP文件时,可以通过文件包含函数加载另一个文件中的PHP代码,并且当PHP来执行,这会为开发者节省大量的时间。这意味着您可以创建供所有网页引用的标准页眉或菜单文件。当页眉需要更新时,您只更新一个包含文件就可以了,或者当您向网站添加一张新页面时,仅仅需要修改一下菜单文件(而不是更新所有网页中的链接)。二、文件包含函数:PHP中文件包含函数有以下四种:require()、require_on原创 2021-03-21 21:13:15 · 3149 阅读 · 0 评论 -
DVWA-SQL注入(全级别)
一、SQL注入概念SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。二、手工注入常规思路1.判断是否存在注入,注入是字符型还是数字型2.猜解SQL查询语句中的字段数3.确定回显位置4.获取当前数据库5.获取数据库中的表6.获取表中的字段名7.得到数据...原创 2021-02-08 12:47:03 · 6342 阅读 · 3 评论 -
DVWA——Command Injection
DVWA——Command Injection<学习笔记>@[TOC]DVWA——Command Injection什么是Command Injection?一、什么是Command Injection?二、使用步骤总结原创 2021-03-17 15:23:26 · 1900 阅读 · 0 评论 -
跨站请求伪造(CSRF)
跨站请求伪造(CSRF)学习笔记什么是跨站请求伪造攻击细节防御措施什么是跨站请求伪造跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。可以这样理解CSRF:攻击者借用用户的名义转载 2021-03-21 19:46:31 · 286 阅读 · 0 评论