DVWA
文章平均质量分 89
空白行
.
展开
-
DVWA-File Upload
目录简介安全级别:Low安全级别:Medium安全级别:High安全级别:Impossible简介概念FileUpload,即文件上传漏洞,通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限;这里上传的文件可以是木马,病毒,恶意脚本等。这种攻击方式是最为直接和有效的,“文件上传”本身没有问题,有问题的是文件上传后,服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全,则会导致严重的后果;文件上传漏洞的前提条件能上传木原创 2022-04-25 16:52:12 · 359 阅读 · 0 评论 -
DVWA-SQL Injection
目录简介sql注入漏洞原理SQL注入漏洞类型危害安全级别:Low查看源码源码分析数据库名表名列名字段值安全级别:Medium查看源码源码分析数据库名表名列名字段值安全级别:High查看源码源码分析闭合符号为`’`判断列数数据库名表名列名数据安全级别:Impossible查看源码源码分析防护总结简介sql注入漏洞原理将恶意的SQL语句拼接到合法的语句中,从而达到执行SQL语句的目的;SQL注入漏洞类型字符型;数字型;搜索型;危害攻击者未经授权可以访问数据库中的数据,盗取用户的隐私原创 2022-04-25 16:51:56 · 165 阅读 · 0 评论 -
DVWA-SQL Injection (Blind)
目录简介sql盲注SQL盲注的类型安全级别:Low安全级别:Medium安全级别:High安全级别:Impossible简介sql盲注SQL Injection(Blind),即SQL盲注;注入:可以查看到详细内容;盲注:目标只会回复是或不是,没有详细内容;SQL盲注的类型基于布尔值的盲注;基于时间的盲注;基于报错的盲注;安全级别:Low安全级别:Medium安全级别:High安全级别:Impossible...原创 2022-04-25 16:51:01 · 370 阅读 · 0 评论 -
DVWA-XSS (Stored)
目录简介安全级别:Low安全级别:Medium安全级别:High安全级别:Impossible简介存储型XSS长期存储于服务器端;每次用户访问都会执行脚本代码;安全级别:Low查看源码<?phpif( isset( $_POST[ 'btnSign' ] ) ) { // Get input $message = trim( $_POST[ 'mtxMessage' ] ); $name = trim( $_POST[ 'txtName' ] );原创 2022-04-25 16:50:20 · 3050 阅读 · 0 评论 -
DVWA-XSS (Reflected)
目录简介安全级别:Low安全级别:Medium安全级别:Impossible防护总结简介XSS(cross-site scripting)跨站脚本攻击,通过web站点漏洞,向客户端交付恶意脚本代码,这些代码可以被浏览器成功的执行,从而实现对客户端的攻击;XSS可以盗取客户端cookie,将客户端重定向到第三方网站;客户端脚本语言弹窗警告、广告;JavaScript;在浏览器中执行;XSS漏洞类型存储型XSS;(持久型) 恶意代码被保存到目标网站的服务器中,每次用户访问时都会执原创 2022-04-25 16:49:58 · 257 阅读 · 0 评论 -
DVWA-File Inclusion(文件包含)
目录简介安全级别:Low本地文件包含远程文件包含安全级别:Medium安全级别:High安全级别:Impossible防护总结:参考简介1.文件包含开发人员将相同的函数写入单独的文件中,需要使用某个函数时直接调用此文件,无需再次编写,这种文件调用的过程称文件包含;2. 文件包含漏洞开发人员为了使代码更灵活,会将被包含的文件设置为变量,用来进行动态调用,从而导致客户端可以恶意调用一个恶意文件,造成文件包含漏洞;在PHP中经常出现文件包含漏洞;3.php中引发文件包含漏洞的通常是以下四个函数inc原创 2022-04-25 16:49:35 · 296 阅读 · 0 评论 -
DVWA-CSRF(跨站请求伪造)
目录CSRF(跨站请求伪造)简介安全级别:Low安全级别:Medium安全级别:High安全级别:ImpossibleCSRF(跨站请求伪造)简介概念CSRF(Cross—site request forgery),跨站请求伪造,是指利用受害者未失效的身份认证信息(cookie,会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下,以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账,改密等)。CSRF与XSS的区别CSRF属于业务逻辑漏洞原创 2022-04-25 16:49:15 · 2206 阅读 · 1 评论 -
DVWA-Command Injection
Command Injection简介概念命令执行漏洞是指可以随意执行系统命令,属于高危漏洞之一,也属于代码执行范围内;PHP命令注入攻击漏洞是PHP应用程序中常见的脚本漏洞之一;就好比说一句话木马<?php @eval($_POST['cmd']);?>类型代码过滤不严或无过滤;系统漏洞造成的命令执行,bash破壳漏洞,该漏洞可以构造环境变量的值来执行具有攻击力的脚本代码,会影响到bash交互的多种应用,例如:http,ssh,dhcp;调用第三方组件,例如:php(syst原创 2022-04-25 16:46:52 · 202 阅读 · 0 评论 -
DVWA-Brute Force
配置环境将下载的DVWA放在www目录下,然后复制一份/config/config.inc.php.dist到当前目录,并且去掉.dist。在phpMyadmin如果没有表dvwa,则新建一个表dvwadb_user,db_password是数据库的账号和密码之后找到DVWA的路径,找到下面的create/reset database点击(再次进入phpMyadmin查看表dvwa,表中已经有数据,密码用md5加密),等2秒自动跳转登录页面输入账号admin,密码password如果有乱原创 2022-04-21 13:29:59 · 3036 阅读 · 0 评论