本篇章主要讲下后续的web漏洞的测试学习中用到的主要工具——bwAPP
首先下载安装:
https://sourceforge.net/projects/bwapp/files/bee-box/
https://sourceforge.net/projects/bwapp/files/bWAPP/
分别下载虚拟机版(上面)和源码版(下面)
然后解压虚拟机版,发觉有很多文件
用VMware去打开那个vmx文件,然后就可以使用了
在桌面点击start,然后账号bee,密码bug
可以测试它提供的多个漏洞,并选择防护代码的级别(low、medium、high)
然后解压源码版,在BWAPP文件夹下可以看到很多的php源码文件
主目录下一大堆对应了每一种漏洞,自己对照着阅读即可
其中:
function htmli($data)
{
switch($_COOKIE["security_level"])
{
case "0" :
$data = no_check($data);
break;
case "1" :
$data = xss_check_1($data);
break;
case "2" :
$data = xss_check_3($data);
break;
default :
$data = no_check($data);
break;
这里就是根据防护级别的分类,每个漏洞源码都有,建议使用类似于PHPstorm的ide,方便点击阅读。
over