- 博客(3)
- 收藏
- 关注
RSS订阅原创 Dvwa靶场通关攻略心得(CSRF)
本文详细分析了DVWA靶场中CSRF漏洞的三个安全级别。Low级别完全无防护,攻击者可直接构造URL修改密码;Medium级别通过Referer检查防护,但可通过URL包含目标域名绕过;High级别采用CSRF Token机制,但仍存在Token可预测获取、Referer检查可绕过的缺陷。建议采用Token与用户会话绑定、二次验证、POST请求等更严格的防护措施。
2026-04-05 10:47:42
575
原创 Dvwa靶场通关攻略心得(Command Injection )
本文以DVWA靶场为例,详细分析了命令注入漏洞的三个安全级别。Low级别完全无过滤,攻击者可利用任意分隔符执行系统命令;Medium级别通过黑名单过滤部分分隔符,但仍可通过管道符绕过;High级别虽扩展了黑名单,却因遗漏无空格管道符仍可被利用。文章通过实际Payload演示各漏洞利用方法,指出黑名单防护的固有缺陷,并给出白名单校验、避免调用shell等防护建议。三个级别的对比揭示了命令注入的严重危害,强调开发者应采用白名单机制而非黑名单,从根本上杜绝此类漏洞。
2026-04-04 20:05:54
602
原创 Dvwa靶场通关攻略心得(Brute Force)
本文介绍了DVWA靶场中暴力破解模块(Low/Medium/High级别)的渗透测试方法。Low级别无防护,直接使用BurpSuite的Intruder模块爆破;Medium级别增加了2秒延迟,但仍可爆破;High级别采用CSRFToken防护,需配置递归提取Token和单线程攻击。最终成功爆破出admin/password的凭证,并总结了各级别的防护效果:Low(无防护)→Medium(基础延迟)→High(Token验证)。文末给出了设置强密码、登录限制等防护建议,强调仅供合法学习使用。
2026-04-03 17:39:29
743
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人