OWASP各种Login登录

最新推荐文章于 2024-04-12 16:03:36 发布
最新推荐文章于 2024-04-12 16:03:36 发布
阅读量5k 收藏 12
点赞数
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nielilijy/article/details/101285080
版权

这个也是OWASP放出来的一个web安全学习平台,PHP+MySQL,主要有SQL注入练习及简单绕过

官网地址:http://43.247.91.228:83/

Login地址:http://43.247.91.228:83/login-pages.html

1、Login #1   (basic login)

2、Login #2  (JavaScript validation)

这个研究了好一会(唉,水平太差,需要继续努力)

这里提供两种方法绕过

方法1:使用burpsuit抓包,改包

方法2:修改html代码

因为这个带有登录框输入过滤校验 onSubmitOfLoginForm,所有可以修改HTML代码,将返回值直接修改为true,

登录框的位置要输好万能密码 'or 1='1,这个是给服务器的数据库校验的

点击提交之后

3、Login #3  (basic login)

4、Login #4  (basic login)

5、Login #5 (password in md5)

6、Login #6 (automatic redirect)

nielilijy
关注
  • 0
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用medusa破解OWASP渗透平台用户名和密码
木鱼
01-13 2236
medusa Medusa(美杜莎)是一个速度快,支持大规模并行,模块化的爆力破解工具。可以同时对多个主机,用户或密码执行强力测试。 medusa属于在线密码破解工具。 这是meidusa官网,大家可以在此查看medusa的英文简介。 测试环境搭建(两种) 在OWASP渗透测试官网下载,但是由于下载速度受限,此方法并不推荐。 百度网盘下载, 提取码: ng9j 。(推荐) 将下载文件解压缩后,使用VMWare打开虚拟机。开机,输入用户名、密码,测试环境即可搭建成功。使用命令:ifconfig ,查
owasp mysql默认密码_Web安全学习笔记之Kali部署DVWA和OWASPBWA
weixin_29489791的博客
01-21 423
0x0 前言kali安装完成,下面要进行实战操作了,喵~~(OWASPBWA请直接跳到第八部分)#既然你诚心诚意的问了,我们就大发慈悲的告诉你!#为了防止世界被破坏!#为了守护世界的和平!#贯彻爱与真实的邪恶!#可爱又迷人的反派角色!#武藏 小次郎#我们是穿梭在银河的火箭队!#白洞!白色的明天在等着我们!#就是这样~喵~~~停...停.....停车!为了维护世界的和平,打靶的话当然是先需要练习,而...
OWASP TOP 10漏洞是指哪些
最新发布
dexunyun的博客
04-12 1510
注入漏洞是一种常见的攻击手段,攻击者通过向应用程序中输入恶意代码,使其执行未经授权的操作。原理: 不安全的反序列化漏洞是指应用程序在反序列化数据时,未能正确验证数据的完整性和有效性,导致攻击者可以利用这个漏洞,执行未授权的代码。原理:应用程序或其环境未正确配置,包括不安全的默认配置、未更新的软件版本、敏感文件暴露等配置问题,导致攻击者可以访问敏感信息、执行未经授权的操作等。攻击者会寻找应用程序中使用的第三方组件中存在的已知漏洞,如SQL注入、跨站脚本攻击等,并利用这些漏洞来攻击应用程序。
靶机搭建
weixin_51287303的博客
10-03 3859
靶机搭建 实验环境:操作系统:Windows 2016 Server。 实验步骤: 一、安装XAMPP 1、访问XAMPP官网https://www.apachefriends.org,下载安装包。 2、在Windows 2016 Server上安装XAMPP。 3、配置默认的文本编辑器。 4、在浏览器登录phpMyAdmin,配置数据库管理员密码。 1)启动Apache、Mysql。 2)登录127.0.0.1,在浏览器登录phpMyAdmin。 3)选择“账户”→“root@localhost”
owaspbwa之Bricks
zhaji001
01-14 2510
简介  下载:https://sourceforge.net/projects/owaspbwa/files/ GitHub: https://github.com/chuckfw/owaspbwa/wiki/UserGuide 0x001 login #1  burp拦截修改提交 检查注入 username=test'&passwd=test'&submit=Subm...
aws-waf-owasp
10-16
使用AWS WAF与OWASP Top 10相结合,用户可以构建一个强大的安全防御系统,有效抵御各种Web应用攻击,确保云环境中的数据安全。 6. **贡献者与进一步阅读** 文档列出了贡献者,并提供了更多关于AWS WAF和OWASP安全...
owasp2.9下载 download
07-08
owasp2.9下载 download,漏洞扫描工具,网站维护工具必选。开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的...
OWASP测试指南中文版
12-30
OWASP 测试指南中文版 OWASP 测试指南中文版是 OWASP 基金会发布的一份关于 Web 应用程序安全测试的指南。这份指南旨在帮助安全测试人员、开发人员和技术 lãnh đạo等相关人员,了解如何对 Web 应用程序进行安全...
OWASP-TOP10-2021中文版V1.0
01-28
OWASP TOP 10 2021 中文版 V1.0 OWASP TOP 10 2021 中文版 V1.0 是一个全新的、使用新图形设计的项目,旨在提高 Web 应用程序的安全性。该项目提供了一个详细的清单,涵盖了当前最常见的十大安全风险,旨在帮助...
OWASP-GoatDroid-0.9
07-17
OWASP-GoatDroid-0.9 OWASP-GoatDroid-0.9 OWASP-GoatDroid-0.9
主机浏览器访问不了OWASP的主页
weixin_37901561的博客
03-25 3173
最近在自学web网络安全,欢迎大家来交流~~ OWASP的安装教程 社区里面的关于OWASP的安装已经很多了,我参考的是链接: link.这里面关于OWASP的安装的安装写的很全。 浏览器访问OWASP的主页失败了! 我按照上面的链接安装好,我一脸天真的在浏览器中输入192.168.65.135,主机的浏览器怎么都打开不了这个页面。 不要慌!这个页面是虚拟机的IP地址,不是一个全球统一的地址,这...
OWASP ZAP录制登录
Z_Y_Q的博客
04-27 1793
1、设置session 1.1 选择手动扫描 1.2 填写扫描的地址,以及选择要扫描的浏览器 注意:浏览器的驱动需要与当前电脑的浏览器版本一致,要不然会报找不到浏览器 1.3 点击session properties(设置图标旁边的图标) 1.4 选择身份验证,点击ok 进入登录页面,输入账号和密码,即可。 ...
OWASP靶机搭建(新手也可)
m0_51521509的博客
03-09 2945
OWASP靶机 进入官网地址下载 https://sourceforge.net/projects/owaspbwa/ 点击download下载[外链图片转存失败,源站可能有防盗在这里插入!链机制,建描述]议将图片上https://传(imbg.csdnimg.cG/2028lo6nK10309174627848.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpd...
2022-渗透测试-OWASP靶机的安装
保持微笑的博客
01-26 3091
1.OWASP靶机下载 下载地址 OWASP Broken Web Applications Project - Browse Files at SourceForge.nethttps://sourceforge.net/projects/owaspbwa/files/ 点击Download进行下载。下载完成解压,如图所示。 2.OWASP安装 1.打开虚拟机,选择刚刚下载的文件。 开启此虚拟机,选择我已复制该虚拟机。 输入账号密码。默认的账号是:root 默认的密码是:...
OWASPBWA的搭建及简单学习文件上传漏洞
小城的博客
11-08 3262
OWASPBWA的搭建及学习 我直接将我使用的OWASPBWA的链接地址发出来 owasp下载链接:https://jaist.dl.sourceforge.net/project/owaspbwa/1.2/OWASP_Broken_Web_Apps_VM_1.2.7z 将这个链接复制到迅雷下载即可,大概是1.7G,网速快的话很快就下好了。 下载完之后直接解压,然后点击vm右上角的文件直接选择打开这个文件夹即可使用 * * 进入机子后,输入ip a 查看机子的ip地址 得到靶机的地址后,我们可以在浏览器
网络安全攻防的环境配置(owaspbwa)
vergilben的学习日记
04-08 2万+
网络安全攻防的环境配置 之前有朋友留言说介绍一下我常用的环境,在学习信息安全的过程中我们需要环境去自己练习,其中web方面的可以用复现漏洞的方式来练习。下面介绍三种自己用的练习方法(第三种较长): 合天网安实验室 最初我开始学习的时候用的就是合天网安实验室,里面的实验偏基础,倾向于让你了解原理,适合小白入门,唯一不足的是价格有点贵,有些实验你要存好长时间的合氏币,在我以前的博客里许多用的是合天...
在线漏洞测试平台:OWASP Juice Shop
Ambulong的博客
06-05 2724
OWASP Juice Shop是一个由NodeJS编写的漏洞平台,共包含了47个漏洞挑战任务,是用来学习渗透测试一大利器。VULNSPY推出了OWASP Juice Shop的在线测试平台:OWASP Juice Shop Project - https://www.vulnspy.com/?u=juice-shop/owasp_juice_shop_projectGitHub Sourceht...
OWASP_top_10漏洞的总结笔记
热门推荐
Mi1k7ea
04-11 2万+
这里简单地写一些关于OWASP top 10 漏洞的一些利用技巧以及检测方法、防御方法等的笔记(很多是参考了《Web漏洞讲解》),有新的理解和学会好的方法之后会更新~ 同时也希望各位大牛给给建议~ SQL Injection&Blind SQL Injection(SQL注入与SQL盲注漏洞): 一、绕过WAF的方法: 1. 大小写绕过 2. 简单编码绕过 3. 注释绕过: ...
owasp top10
03-27
OWASP Top 10是由Open Web Application Security Project(OWASP)组织发布的一个关于Web应用程序安全风险的列表。它列出了当前最常见的Web应用程序安全漏洞,帮助开发人员和安全专家了解并解决这些问题。 以下是OWASP Top 10的最新版本(2021): 1. 注入(Injection):指的是攻击者通过将恶意代码注入到应用程序的输入中来执行非法操作,如SQL注入、OS命令注入等。 2. 跨站脚本(Cross-Site Scripting,XSS):攻击者通过在Web应用程序中插入恶意脚本来窃取用户信息或篡改网页内容。 3. 不安全的身份验证(Broken Authentication):指的是应用程序在用户身份验证和会话管理方面存在漏洞,如弱密码、会话劫持等。 4. 暴露的敏感数据(Sensitive Data Exposure):指的是应用程序未正确保护敏感数据,导致攻击者可以获取到用户的敏感信息。 5. XML外部实体(XML External Entities,XXE):攻击者利用XML解析器的漏洞来读取本地文件、执行远程请求等操作。 6. 不安全的访问控制(Broken Access Control):指的是应用程序未正确实施访问控制机制,导致攻击者可以越权访问或修改数据。 7. 安全配置错误(Security Misconfiguration):指的是应用程序或服务器配置不当,导致安全漏洞的存在,如默认密码、错误的权限设置等。 8. 跨站请求伪造(Cross-Site Request Forgery,CSRF):攻击者通过伪造合法用户的请求来执行非法操作,如修改用户信息、发起转账等。 9. 使用已知的漏洞组件(Using Components with Known Vulnerabilities):指的是应用程序使用已知存在漏洞的第三方组件,导致攻击者可以利用这些漏洞进行攻击。 10. 不足的日志记录和监控(Insufficient Logging & Monitoring):指的是应用程序未正确记录和监控安全事件,导致无法及时发现和应对攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值