实训目的
了解XSS跨站的概念和基本原理。
实训准备及注意事项
1.硬件:装有Windows操作系统的计算机1台。
2.软件:phpStudy
3.严格按照实验步骤进行实验,实验结果以截图的形式进行保留。
实训背景知识
DVWA(Damn Vulnerable Web Application)是randomstorm的一个开源项目。一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。
DVWA共有十个模块,分别是:
1.Brute Force(密码破解)
2.Command Injection(命令行注入)
3.CSRF(跨站请求伪造)
4.File Inclusion(文件包含)
5.File Upload(文件上传)
6.Insecure CAPTCHA (不安全的验证码)
7.SQL Injection(SQL注入)
8.SQL Injection(Blind)(SQL盲注)
9.XSS(Reflected)(反射型跨站脚本)
10.XSS(Stored)(存储型跨站脚本)
实训准备 安装部署phpStudy+DVWA漏洞演练平台
1、 安装phpstudy,安装完成后启动phpStudy主界面,当看到 Apache 和 MySQL 文字后面红色的圆点变成绿色时,表示服务启动成功。如下图所示:
2、 将DWVA压缩包解压到phpStudy的WWW文件夹中。如下图所示:
3、 配置DVWA链接数据库,打开config文件夹,打开config.inc.php,需要把db_password 修改成root,保存(因为前面刚安装好的集成环境默认的MYSQL用户名和密码为root root)。如下图所示:
4、 访问http://本机IP/DVWA/index.php,点击创建/重置数据库,点击创建数据库跳转到DVWA的登录界面,DVWA的默认用户名是"admin",密码“password”登录。输入用户名密码登录,登陆成功。如下图所示:
5、 在DVWA Security中设置难度为low。如下图所示:
6、接下来就可以在这个网站上实行一系列的操作,网站是专门用来测试安全性的,可以放心使用。
1402
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
