DVWA
文章平均质量分 89
TRRRQ
这个作者很懒,什么都没留下…
展开
-
DVWA学习日记-1 暴力破解
暴力破解首选我们需要大家环境phpstudyDVWAProvy Switcher 插件OWASP ZAP1.首先进入我们的DVWA环境中,输入账号密码2.调整难度为简单3.进入暴力破解页面3.进入暴力破解页面4.设置插件代理进行抓包什么是代理抓包?改写HTTP代理,让数据从它那通过,来监控并且截取到数据图标变红表示设置成功5.设置ZAP代理(默认是localh...原创 2018-11-15 21:18:48 · 488 阅读 · 0 评论 -
DVWA学习日记-4 文件包含
文件包含举例:有个骗子卖东西,以次充好,以假乱真,这就是在三十六计里面的偷梁换柱在文件包含漏洞里面的文件,把真正的文件调包换成我们的恶意文件,服务器却还不知道概述:文件包含其实就一种代码的处理方法,当一个代码文件想要引用另一个代码文件就会利用到包含,常见的函数有:include,require等,参数一般是代码文件名文件名参数用户可控且过滤不严,被攻击者偷梁换柱文件包含includ...原创 2018-11-21 15:58:47 · 458 阅读 · 0 评论 -
DVWA学习日记-3 CSRF
CSRF1.概述例如说手机上收到一条短信,点了一下,发现里面什么都没有,过了一活儿,银行短信来了,发现自己的钱不见了,这就是黑客利用CSRF漏洞造成的。1.2.概念CSRFcross-site request forgery跨站 请求 伪造受害者角度用户在当前已登录的WEB应用程序上执行非本意的操作攻击者角度攻击者欺骗浏览器,让其以受害者的名义执行自己想要的操作准备F...原创 2018-11-19 14:45:42 · 177 阅读 · 0 评论 -
DVWA学习日记-5 文件上传
文件上传举例:这里讲一个很有名的,千里之堤,溃于蚁穴,警示我们要注重细节,一只蚂蚁也能毁了堤坝,我们就是要将不起眼的蚂蚁送到这个堤坝上,这里堤坝就是网站,蚂蚁就是文件概念:Web中的常用功能,将本地文件上传到服务器上文件上传漏洞,Web运行用户上传恶意代码,并在服务器上运行文件上传类似代码:upload(“hello.php”),上传对应的是upload的函数,文件就是hello.ph...原创 2018-11-22 21:04:23 · 340 阅读 · 0 评论 -
DVWA学习日记-6 SQL回显注入
SQL回显注入概述命令注入漏洞和sql注入漏洞都是用把注入的数据当做代码来执行,区别在于命令注入漏洞注入的是系统命令,sql注入的是sql语句sql语句就是操作数据库的语句,就是通过WEB操作在数据库执行任意SQL语句,所谓的sql注入漏洞是非常普遍的安全漏洞,本笔记是sql回显注入,就是会把sql注入数据库执行结果显示在页面上准备FirefoxDVWAHackbarFirebug...原创 2018-11-24 15:47:23 · 834 阅读 · 0 评论 -
DVWA学习日记-7 SQL盲注
SQL盲注概述数据库的执行结果不会直接显示在页面上页面只会显示真和假两个状态准备:FirefoxDVWAHackbarfirebugTamper DataSQLMAP手工实战1.进入简单模式进入sql盲注页面,正常操作访问id=1,,只是告诉我们这个存在,结果为真2.输入-1提交一下,查询结果为假3.尝试注入POC真 and 假=假... where user...原创 2018-11-26 16:46:22 · 326 阅读 · 0 评论 -
DVWA学习日记-7 XSS
XSS漏洞概述收到一个链接,手一抖就点下去了,发现钱没了,有点类似CSRF,从受害者角度来说都是一样情况,但是从攻击者角度来说不同XSSCross-site scripting跨站 脚本本质上:客户端代码注入,通常注入代码是JavaScript区别于命令注入,SQL注入等服务端代码注入类型:存储型XSS 攻击代码在数据库里在HTTP响应中反射型XSS 攻击代码在url里输出...原创 2018-11-28 21:01:01 · 429 阅读 · 1 评论