DVWA
文章平均质量分 85
花纵酒
这个作者很懒,什么都没留下…
展开
-
DVWA全级别教程学习及备课笔记:HTML DOM(XSS扩展内容)
参考地址:https://www.w3school.com.cn/htmldom/index.asp原创 2021-04-01 11:46:21 · 169 阅读 · 0 评论 -
DVWA全级别教程学习及备课笔记:存储型XSS
存储型XSS下面对四种级别的代码进行分析。Low服务器端核心代码<?php if( isset( $_POST[ 'btnSign' ] ) ) { // Get input $message = trim( $_POST[ 'mtxMessage' ] ); $name = trim( $_POST[ 'txtName' ] ); // Sanitize message input $message = stripsl...原创 2021-03-30 11:18:26 · 147 阅读 · 0 评论 -
DVWA全级别教程学习及备课笔记:XSS
最新的DVWA已经更新到1.9版本(http://www.dvwa.co.uk/)DVWA 1.9的代码分为四种安全级别:Low,Medium,High,Impossible。初学者可以通过比较四种级别的代码,接触到一些PHP代码审计的内容。XSSXSS,全称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flas原创 2021-03-08 17:40:50 · 338 阅读 · 0 评论 -
DVWA全级别教程学习及备课笔记:SQL Injection(Blind)
SQL Injection(Blind)SQL Injection(Blind),即SQL盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前网络上现存的SQL注入漏洞大多是SQL盲注。手工盲注思路手工盲注的过程,就像你与一个机器人聊天,这个机器人知道的很多,但只会回答“是”或者“不是”,因此你需要询问它这样的问题,例如“数据库名字的第一个字母是不原创 2021-01-04 20:24:07 · 221 阅读 · 0 评论 -
DVWA全级别教程学习及备课笔记:SQL Injection
SQL InjectionSQL Injection,即SQL注入,是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。SQL注入漏洞的危害是巨大的,常常会导致整个数据库被“脱裤”,尽管如此,SQL注入仍是现在最常见的Web漏洞之一。近期很火的大使馆接连被黑事件,据说黑客依靠的就是常见的SQL注入漏洞。手工注入思路自动化的注入神器sqlmap固然好用,但还是要掌握一些手工注入的思路,下面简要介绍手工注入(非盲注)的步骤。1.判断是否存在注入,.原创 2021-01-04 18:07:23 · 183 阅读 · 0 评论 -
DVWA全级别教程学习及备课笔记:File Upload
File UploadFile Upload,即文件上传漏洞,通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的,Apache、Tomcat、Nginx等都曝出过文件上传漏洞。...原创 2020-10-21 11:34:08 · 104 阅读 · 0 评论 -
DVWA全级别教程学习及备课笔记:File Inclusion(文件包含)
DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。DVWA共有十个模块,分别是Brute Force(暴力(破解))Command Injection(命令行注入)CSRF(跨站请求伪造)File Inclusion(文件包含)File Upload(文件上传)Insecure CAP原创 2020-10-12 10:49:57 · 217 阅读 · 0 评论 -
DVWA全级别教程学习及备课笔记:之CSRF
CSRF(Cross-site request forgery)CSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用。在2013年发布的新版OWASP Top 10原创 2020-10-05 16:18:00 · 339 阅读 · 0 评论 -
DVWA全级别教程学习及备课笔记:之Command Injection
Command InjectionCommand Injection,即命令注入,是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。PHP命令注入攻击漏洞是PHP应用程序中常见的脚本漏洞之一,国内著名的Web应用程序Discuz!、DedeCMS等都曾经存在过该类型漏洞。下面对四种级别的代码进行分析。...原创 2020-10-05 11:45:14 · 202 阅读 · 0 评论 -
DVWA全级别教程学习及备课笔记:之Brute Force
DVWA全级别教程学习及备课笔记:之Brute Force原创 2020-09-23 09:42:29 · 463 阅读 · 0 评论