![](https://img-blog.csdnimg.cn/20201014180756724.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
DVWA学习
文章平均质量分 84
江畔有雨
这个作者很懒,什么都没留下…
展开
-
关于DVWA的学习-XSS(DOM)
关于DVWA的学习-XSS(DOM)Background需要的前置知识(仅针对本部分)HTML标签(比如 div, a, h, p, script, form等等)菜鸟教程-HTML简单的JavaScript语法知识DOM相关知识(DOM简单来说就是把网页的HTML看作树结构,JS代码利用document的一系列API可对它进行操作) DOM教程XSS攻击的基本概念low选择语言的界面,没啥特别的,看看网页代码吧。document.location.href: 获取当前页面U原创 2022-04-23 00:08:38 · 3423 阅读 · 2 评论 -
关于DVWA的学习-Brute Force
关于DVWA的学习-Brute Forcelow随便试了一下,账号密码和登录dvwa的一样,登陆成功会显示avatar看了一下PHP源码没有对SQL注入进行防范,本来直接输入 ’ or 1=1#,但应该是由于返回的行数超过1,也不能显示avatar,加一个LIMIT 1即可。medium和low一样,试了一下就登进去了,确实没太懂想考察啥。打开源码看了一下:首先应该是对sql注入进行了一些防范,给引号啥的加了转义字符。比较重要的是,fail的情况多了个sleep函数,应该是防止爆破原创 2022-04-21 00:23:29 · 2559 阅读 · 0 评论 -
关于DVWA的学习-SQL注入
关于DVWA的学习-SQL注入lowBackground一般的查询语句的结构如下:SELECT column_name FROM table_name WHERE ID=$id我们输入的内容就是填充到id需要先简单介绍一下数字型和字符型注入的基本区别:数字型:输入啥就是啥,比如我输入1,后台的查询语句就是SELECT column_name FROM table_name WHERE ID=1字符型:会给输入套上单或双引号,同样输入1,后台的查询语句就是SELECT column_n原创 2022-04-20 14:08:10 · 3674 阅读 · 0 评论 -
关于DVWA的学习-CSRF
关于DVWA的学习-CSRFBackgroundCSRF(Cross-Site Request Forgery)跨站点请求伪造。相关介绍:CSRF及相关防御手段介绍low说实话,一开始都不知道是干啥的,只看出是用于修改password的界面。点击提交之后,url发生了变化,并且不需要token,因此直接利用这个链接便可以随时修改密码。比如我新开一个tab,输入上面的url,便会提示修改成功:直接使用原链接未免有些明显,可以生成短链接,不那么容易被发现。(短链接生成工具)me原创 2022-04-21 21:06:22 · 166 阅读 · 0 评论