![](https://img-blog.csdnimg.cn/20200903094947596.jpg?x-oss-process=image/resize,m_fixed,h_224,w_224)
【靶场实战】
文章平均质量分 55
靶场练习
晚风不及你ღ
哒哒哒
展开
-
【靶场实战】Pikachu靶场敏感信息泄露关卡详解
Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习,那么Pikachu可能正合你意。由于后台人员的疏忽或者不当的设计,导致不应该被前端用户看到的数据被轻易的访问到。比如:通过访问url下的目录,可以直接列出目录下的文件列表;输入错误的url参数后报错信息里面包含操作系统、中间件、开发语言的版本或其他信息;前端的源码(html,css,js)里面包含了敏感信息,比如后台登录地址、内网接口信息、甚至账号密码等;原创 2024-02-02 14:09:44 · 702 阅读 · 0 评论 -
【靶场实战】Pikachu靶场不安全的文件下载漏洞关卡详解
Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习,那么Pikachu可能正合你意。文件下载功能在很多web系统上都会出现,一般我们点击下载链接,便会向后台发送一个下载请求,一般这个请求会包含一个需要下载的文件名称,后台在收到请求后 会开始执行下载代码,将该文件名对应的文件response给浏览器,从而完成下载。原创 2024-02-02 09:13:13 · 696 阅读 · 0 评论 -
【靶场实战】Pikachu靶场RCE漏洞关卡详解
Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习,那么Pikachu可能正合你意。RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。原创 2024-02-01 09:20:17 · 791 阅读 · 0 评论 -
【靶场实战】Pikachu靶场XSS跨站脚本关卡详解
Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习,那么Pikachu可能正合你意。Cross-Site Scripting 简称为“CSS”,为避免与前端叠成样式表的缩写"CSS"冲突,故又称XSS。一般XSS可以分为反射性XSS、存储型XSS、DOM型XSS。XSS漏洞一直被评估为web漏洞中危害较大的漏洞,在OWASP TOP10的排名中一直属于前三的江湖地位。原创 2024-02-01 09:18:50 · 1291 阅读 · 0 评论 -
【靶场实战】Pikachu靶场暴力破解关卡详解
Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习,那么Pikachu可能正合你意。“暴力破解”是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。原创 2024-01-31 08:47:48 · 990 阅读 · 0 评论