【记录】dvwa总结

最新推荐文章于 2024-08-04 21:24:38 发布
最新推荐文章于 2024-08-04 21:24:38 发布
阅读量202 收藏
点赞数
文章标签: 操作系统
原文链接:http://www.cnblogs.com/peterpan0707007/p/7788802.html
版权

一、Brute Force

选择集束炸弹

设置payload

stack attck

防御:密码加密,使用验证码,使用统一的参数代替帐号和密码。

二、Command Injection

|,||,&,&&,;(linux才有)

1、ping 127.0.0.1 | net user  ///竖线表示管道命令,即将ping 127.0.0.1的结果传给net user命令,最终只输出net user执行的结果

 

2、ping 127.0.0.1 & net user  输出两条系统命令的结果

3、ping 127.0.0.1 && net user  ///第一条命令正确执行后才执行第二条命令

 4、ping 127.0.0.1 || net user  //第一条命令执行失败后才执行第二条命令

防御:对特殊符号&、|,;进行过滤。

三、Cross Site Request Forgery (CSRF)

 

从修改密码的包中可以看出,并未进行一些防御csrf的有效措施,攻击者通过构造特定的代码即可恶意修改当前用户密码。

 四、File Inclusion

low:

典型的文件包含漏洞,通过修改page参数对应的值,即可读取任意文件,结合文件上传效果更佳。

medium:

 

五、File Upload

low:

medium:修改content-type内容为image/jpeg即可绕过。

七、SQL Injection

medium:

爆数据就不玩了,,,

八、SQL Injection (Blind)

九、Reflected Cross Site Scripting (XSS)

medium:

<ScRipt>alert('xss')</ScripT>

十、Stored Cross Site Scripting (XSS)

存储型XSS

medium:

 

 

转载于:https://www.cnblogs.com/peterpan0707007/p/7788802.html

weixin_30408165
关注
DVWA(LOW)学习心得【持续更新】
MZEPSan的博客
12-10 1141
应学长要求,开始学习DVWA的有关知识。虽然临近期末,但是感觉拿来在休闲时间玩玩还是挺好的。如果写得有什么问题,希望各位师傅能予以指正。 第一部分:SQL注入 登上平台之后打开如下页面: 就一个输入框真的看不出什么,看看代码吧… 先贴代码 <?php if( isset( $_REQUEST[ 'Submit' ] ) ) { // Get input $id = $_R...
DVWA设置mysql_配置安装DVWA
weixin_32342535的博客
01-19 646
——————————————————什么是DVWA?Damn Vulnerable Web App (DVWA) is a PHP/MySQL web application that is damn vulnerable. Its main goals are to be an aid for security professionals to test their skills and too...
DVWA总结
m0_46315342的博客
11-30 723
很久没碰这些东西了,加上之前也没整理过,正好趁着这个月整理一下。 bruteforce easy 没有任何的防护, medium 在easy的基础上,加了一个错误后的slepp(2)语句 high 一开始便检查了user_token和session_token, impossible 在high的基础上,加上了PDO扩展,然后设置了失败的次数为3次,如果超过3次,等待15分钟 CSRF(cross site request forgery) easy 没有任何的防护,由于逻辑设计的问题,可以直接更
DVWA的练习总结(还在补充,待续)
qq_43695654的博客
06-07 873
Brute Force: 先从low开始,在DVWA Security中调整难度,默认打开是impossible。 low: 其实,这个的话,大家因该都会想到,直接爆破肯定能出来,但是还是看下代码,点击右下角的View Source查看当前难度下的源码。 像这种代码,其实都没必要全部弄懂的,只要把关键的部分看懂就行,不过我不怎么懂这些啊,PHP还没学,只知道一点。。。 咳咳,user和pass都是...
dvwa 总结(命令注入参数,文件包含,文件上传,xss,sql注入)
qq_39511050的博客
09-02 427
命令执行参数
web安全之dvwa总结
分享观点和经验,欢迎交流。
07-20 1882
为了学习web安全,决定从dvwa开始,dvwa的安装参考。 1、DVWA简介 DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。 DVWA共有十个模块,分别是: Brute Force(暴力(破...
dvwa靶场训练.rar
03-17
总结起来,"dvwa靶场训练.rar"是一个全面的Web安全学习资源,涵盖了Web开发和安全中的关键知识点。无论是对于初学者还是有经验的安全专家,都可以从中受益,提升自己的安全意识和技能。在虚拟环境中搭建和演练DVWA,...
网络安全学习之DVWA平台的搭建及简单使用
最新发布
Aurevoirs的博客
08-04 1337
centos操作系统下,DVWA平台的搭建方法记录DVWA平台简单使用整理
DVWA的部署和教程
lifanxin的博客
05-04 5963
DVWA的部署概述本地部署DVWA部署DVWA的基本环境下载DVWA配置MySql数据库配置DVWA总结 概述   DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。 本地部署DVWA 部署DVWA的基本环境   dvwa本质也是一个web应用服务,所以可以使用下面的web应用服务组合来进行环境部署 – Apach
2020-12-01-DVWA.md
01-24
#### 四、总结与防护措施 1. **增强输入验证**: - 使用更严格的过滤规则,比如正则表达式来检查用户输入。 - 对所有外部输入进行验证,确保它们符合预期的格式。 2. **使用安全函数**: - 避免直接使用`shell_...
DVWA学习小计1
weixin_44181054的博客
02-15 221
DVWA学习小计 DVWA模块分类。 DVWA共有十个模块,分别是Brute Force(暴力(破解))、Command Injection(命令行注入)、CSRF(跨站请求伪造)、File Inclusion(文件包含)、File Upload(文件上传)、Insecure CAPTCHA (不安全的验证码)、SQL Injection(SQL注入)、SQL Injection(Blind)(S...
DVWA通关详细教程
热门推荐
来日可期的博客
08-13 1万+
DVWA通关详细教程
DVWA的典型例题分析
qq_66985187的博客
03-13 179
DVWA靶场部分通关教程,安装教程可以查看上一篇文章
dvwa low级别前五测试
苟有恒,必有三更眠,五更起。
12-28 2852
摘要 本篇签到记录dvwa前五个漏洞的low级别测试过程和结果。顺便复习一下之前接触过的几个漏洞。 0x00 环境搭建 phpstudy+dvwa环境的搭建不难,这里就不详细说了,详细参照博客。 phpstudy下搭建dvwa 0x01 Brute Force(爆破) Brute Force,即暴力(破解),是指黑客利用密码字典,使用穷举法猜解出用户口令,是现在最为广泛使用的
初识DVWA(靶场)
supreme_lu的博客
03-22 1882
今天开始认识web安全有关知识,开始使用DVWA靶场训练。有以下几项: xss(xss跨站脚本攻击) SQL injection(SQL注入) Directory traversal(目录遍历) File Include(文件引用) Code injection(代码注入) Commands injection(命令注入) LDAP attacks(LDAP攻击) File Upload(文件上传...
SQL注入(DVWA演示)
qq_45070118的博客
08-05 1882
SQL:结构化查询语言 SQL注入 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。 实验代码: 1’and’ 1’=‘2 1’ or ‘1’ =‘1 1’ or ‘1234’=‘1234 1’ or 1=1 order by 1 # 1’ or 1=1 order by 2 # 1’ union select 1,2# ...
DVWA 实验报告:1、暴力破解
看那白熊
04-14 5745
文章更新于:2020-04-14 注1:环境搭建参见:搭建DVWA Web渗透测试靶场 注2:实验报告2参见:DVWA 实验报告:2、命令注入 DVWA之暴力破解漏洞一、前言二、安全级别:LOW2.1、查看源码2.2、尝试暴力破解三、安全级别:Medium3.1、查看源码3.2、攻击思路四、安全级别:High4.1、查看源码4.2、攻击思路五、安全级别:Impossible5.1、查看源码5.2、...
DVWA渗透测试演示(下)
Fly_鹏程万里
02-28 1691
八、DVWA之PHP+MySQL手工注入:(1)SQL注入:在用户的输入没有为转移字符过滤时,就会发生这种形式的注入攻击,它会被传递给一个SQL语句。这样就会导致应用程序的终端用户对数据库上的语句进行操纵。就是通过吧SQL命令插入到web表单或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意代码的SQL命令。(2)view source:由此可知,当输入正确的ID时,将显示ID:xxx ...
DVWA安装与配置指南
"该资源是关于DVWA(Damn Vulnerable Web Application)的安装与配置指南,适合初学者,提供了一步一步的指导,避免在安装过程中遇到的问题。" DVWA是一个专门设计用于安全测试的PHP/MySQL web应用,它包含了许多常见...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值