DVWA
dvwa
KB-野原新之助
学生小白,请多多指教。
展开
-
DVWA系列---基于报错的SQL注入(SQL Injection)
文章目录1、Low2、Medium3、High原创 2020-02-06 15:46:01 · 1263 阅读 · 0 评论 -
DVWA系列---反射型 XSS(Reflected Cross Site Scripting)
前言何为XSS?XSS(Cross Site Scripting)名为跨站脚本攻击,本应该称之为 CSS,但是由于 CSS 与网页前端的层叠式样表名称冲突,因此称之为 XSS。XSS是指开发者在开发网页时,对用户的输入没有进行安全过滤,导致用户在可以输入内容的地方,插入脚本语句,执行恶意脚本代码,可以对数据库、服务器、用户等造成影响和危害,危险等级很高,也很常见。XSS通常存在于论坛的评论...原创 2020-02-02 15:46:28 · 616 阅读 · 0 评论 -
DVWA系列---File Inclusion 文件包含漏洞
文章目录前言一、Low二、Medium三、High四、Impossible前言文件包含:文件包含是指为了提高开发效率,将不同功能写入到单独文件中,在需要使用该功能时,将相应的文件导入即可。常见的文件包含函数:require:找不到被包含的文件,报错,并且停止运行脚本。include:找不到被包含的文件,只会报错,但会继续运行脚本。require_once:与require类似,区别...原创 2020-01-28 14:58:58 · 546 阅读 · 0 评论 -
DVWA系列---File Upload 文件上传漏洞
文章目录一、前言二、Low级别1、演示三、Medium级别四、High级别一、前言文件上传漏洞是指:服务器对用户上传的文件没有进行严格过滤,导致用户上传了一些危险文件(如一句话木马的php文件),然后访问这些危险文件,对服务器造成控制或破坏。预防方法:1、对用户可上传的文件类型及进行严格控制,设置白名单,防止用户上传危险文件;2、对上传的文件进行文件名转换,防止用户直接访问到上传的文件...原创 2020-01-27 16:02:57 · 516 阅读 · 0 评论 -
DVWA系列---CSRF(Cross Site Request Forgery)跨站请求伪造
文章目录一、前言CSRF二、Low级别1、演示2、源码三、Medium级别1、演示2、源码四、High级别1、演示一、前言CSRFCSRF(Cross Site Request Forgery)名为“跨站请求伪造”,意思是黑客伪装成用户的身份,利用目标服务器对用户的信任(即用户已经登入,且存有Cookie)进行数据请求或数据更改,达到攻击的目的。CSRF形成的原因:1、用户在登陆了网站后...原创 2020-01-26 17:07:47 · 674 阅读 · 0 评论 -
DVWA系列---Command Injection命令注入
文章目录一、前言1、命令注入2、命令拼接符二、Low级别(查看源代码)三、Medium级别(查看源代码)四、High级别(查看源代码)五、Impossible级别(查看源代码)六、防御方法一、前言1、命令注入命令注入漏洞主要是指服务器对来自网络的语句,没有进行严格的过滤,导致在执行合法命令的同时,也执行了一些恶意构造的非法命令,使得服务器被破坏。通常命令注入是指os命令注入,即通过Shel...原创 2020-01-23 20:49:36 · 554 阅读 · 0 评论 -
DVWA系列---Brute Force暴力破解
文章目录一、low级别二、medium级别三、high级别Token简述实验使用bp进行抓包暴力破解,并提前写好账号密码字典。一、low级别安全措施:无任何防护措施1、使用bp抓包2、发送至intruder并添加参数,选择形式3、增加线程后,实施攻击根据响应长度,判断出正确账号密码。(查看源代码)<?phpif( isset( $_GET[ 'Login' ] )...原创 2020-01-21 15:13:25 · 459 阅读 · 0 评论