DVWA
看我的眼色行事
这个作者很懒,什么都没留下…
展开
-
DWVA XSS(DOM型)
DWVA XSS(DOM型)XSSXSS (DOM型)lowMediumHighXSSXSS的实质其实是HTML代码与Javscript代码的注入。但由于XSS的攻击对象是与客户对等的Browser端,因此常常不被开发者所重视。一般意义上的XSS通常可以用简单的方法检测出来:当用户输入中某个参数的全部或其中一部分,原封不动地在源代码里出现时,我们就可以认为这个参数存在XSS漏洞。XSS (DOM型)DOM XSS的产生并没有和后台服务器产生交互,而是通过浏览器的dom树解析产生的。low源码原创 2020-12-27 10:36:31 · 529 阅读 · 0 评论 -
DVWA(XSS存储型)
XSS DOMXSSXSS存储型LowMediumHighXSSXSS的实质其实是HTML代码与Javscript代码的注入。但由于XSS的攻击对象是与客户对等的Browser端,因此常常不被开发者所重视。一般意义上的XSS通常可以用简单的方法检测出来:当用户输入中某个参数的全部或其中一部分,原封不动地在源代码里出现时,我们就可以认为这个参数存在XSS漏洞。XSS存储型存储型XSS,持久化,嵌入到web页面的恶意HTML代码被存储到服务器端(数据库),攻击行为将伴随着攻击数据一直存在。如在个人信息原创 2020-12-24 23:37:04 · 518 阅读 · 0 评论 -
DVWA(XSS 反射型)
DVWA XSS(reflected)XSS反射性XSSlowMediumHighXSSXSS的实质其实是HTML代码与Javscript代码的注入。但由于XSS的攻击对象是与客户对等的Browser端,因此常常不被开发者所重视。一般意义上的XSS通常可以用简单的方法检测出来:当用户输入中某个参数的全部或其中一部分,原封不动地在源代码里出现时,我们就可以认为这个参数存在XSS漏洞。反射性XSS恶意代码并没有保存在目标网站,而是通过引诱用户点击一个恶意链接来实施攻击。主要特征:恶意脚本附加到原创 2020-12-24 23:12:02 · 463 阅读 · 0 评论 -
DVWA(sql注入 盲注)
sql注入(盲注)SQL Injection(盲注)LowMediumHighSQL Injection(盲注)SQL盲注,其实和SQL注入差不多,只是比它难一点利用,注入时返回的数据只有正确和错误,不会返回其他信息。基于布尔的盲注可通过构造真or假判断条件(数据库各项信息取值的大小比较,如:字段长度、版本数值、字段名、字段名各组成部分在不同位置对应的字符ASCII码…),将构造的sql语句提交到服务器,然后根据服务器对不同的请求返回不同的页面结果(True、False);然后不断调整判断条件中原创 2020-12-20 18:06:04 · 456 阅读 · 1 评论 -
DVWA(sql注入)
DWVA (sql注入)SQL注入简介LowSQL注入简介SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至执行篡改数据库等操作。Low输入1,用burp进行抓包;将报文头复制,存储到txt文件中,命名为sql.txt;打开sqlmap,用它去扫描文件,查看返回信息判断该网站是否存在SQL注入漏洞;打开cmd,输入命令 python sqlmap.py -r "文件存储地址和文件名" --lev原创 2020-12-09 00:09:37 · 260 阅读 · 0 评论 -
DVWA(文件上传)
DVWA (文件上传)文件上传(File Upload)LowMedium文件上传(File Upload)文件上传介绍:文件上传漏洞通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的。文件上传漏洞的利用的条件:1.能够成功上传木马文件;2.上传文件必须能够被执行;3.上传文件的路径必须可知.Low源码: <?phpif( isset( $_POST[ 'Upload'原创 2020-12-06 23:37:06 · 338 阅读 · 0 评论 -
DVWA(跨站伪命令请求)
DWVA跨站请求伪造CSRF简介跨站伪命令请求(CSRF)LowMediumHighCSRF简介CSRF (Cross-site request forgery),是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份(身份认证信息所对应的)向服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF与XSS 最大的区别就在于,CSRF并没有盗取身份认证信息(cookie),而是直接利用。跨站伪命令请求(CS原创 2020-12-06 17:01:56 · 174 阅读 · 0 评论 -
DVWA(命令执行)
DVWA (命令行执行)命令行执行(Command Injection)lowmedium命令行执行(Command Injection)命令连接符:command1 & command2 :不管command1执行成功与否,都会执行command2(将上一个命令的输出作为下一个命令的输入);command1 && command2 :先执行command1执行成功后才会执行command2;command1 | command2 :只执行command2;command原创 2020-11-25 23:59:25 · 1041 阅读 · 0 评论 -
DVWA(暴力破解)
DVWA (暴力破解)DVWA简介暴力破解(Brute Force)lowMediumDVWA简介需要Apache和MySql的集成环境,可以安装phpStudy,在phpStudy的WWW文件下搭建DWVA靶场。DVWA默认的用户有5个,用户名密码如下(记住一个就可以了):admin/passwordgordonb/abc123smithy/password1337/charleypablo/letmeinDVWA乱码问题的解决办法:到DVWA安装目录下 (…/WWW/DVWA/d原创 2020-11-23 23:36:03 · 933 阅读 · 0 评论