![](https://img-blog.csdnimg.cn/20210708203342436.png?x-oss-process=image/resize,m_fixed,h_224,w_224)
[Web安全]
文章平均质量分 87
新的项目
热热闹闹孤孤单单
祝世界继续热闹,祝我仍是我
展开
-
Kali 2021.2 安装并配置WebGoat (Docker 和 Release两种方式)
目录传送门什么是WebGoat基于Docker配置WebGoat什么是WebGoat官方介绍: WebGoat 是由OWASP维护的故意不安全的 Web 应用程序,旨在教授 Web 应用程序安全课程。该程序演示了常见的服务器端应用程序缺陷。这些练习旨在供人们学习应用程序安全和渗透测试技术。简而言之,WebGoat 就是 OWASP 发行的的用于进行 Web 漏洞实验的应用平台。WebGoat运行在带有java虚拟机的平台之上,当前提供的训练项目有30多个,其中包括:SQL盲注、数字型SQL注入、字符原创 2021-08-19 16:03:22 · 1535 阅读 · 0 评论 -
XDSEC 2021 Web服务渗透虚拟仿真实验
目录传送门00x0 序言00x1 实验实验步骤1: 启动靶机、攻击主机实验步骤2: 从攻击主机访问靶机实验步骤3 Web后台管理系统弱口令猜测攻击实验步骤4 任意文件上传漏洞利用实验步骤5 启动ZAP抓包软件,设置浏览器代理实验步骤6 恶意木马上传实验步骤7 任意目录访问漏洞发现与利用实验步骤8 Webshell的构造与使用实验步骤9 提升权限实验步骤10 持久化控制00x2 总结00x0 序言学院终于想通了,开了一门跟自己专业有关的实验课,多整点这些,把什么物理实验电学实验去掉它不香吗…实验还是比较原创 2021-08-01 20:59:43 · 1797 阅读 · 2 评论 -
Web 2.3.2 OpenVAS使用初探 / GVM使用入门教程(超详细)
序言上一次我们完成了OpenVAS的安装,接下来我们需要使用OpenVAS完成扫描,网上很多教程都讲很多原理性的东西,我们在这里不讲太多原理和架构,只是为大家提供一个边用边学,简单易上手的入门级使用教程扫描流程我们需要对某个目标(IP地址)以某种扫描配置进行扫描,并且把这种过程称为任务,所以扫描之前需要新建扫描配置,新建target,创建扫描任务,得到扫描结果(可以先使用默认配置做扫描测试)启动GVM服务并登录sudo gvm-start启动 GVM 服务sudo gvm-check-setu原创 2021-07-30 17:42:19 · 7907 阅读 · 0 评论 -
Web 2.3.1 Kali 2021.2 安装OpenVAS(更新为GVM) 全过程 以及 一系列踩坑记录
OpenVAS简介OpenVAS是开放式漏洞评估系统,也可以说它是一个包含着相关工具的网络扫描器。其核心部件是一个服务器,包括一套网络漏洞测试程序,可以检测远程系统和应用程序中的安全问题。OpenVAS安装由于软件的更新原因,目前2021年 各个linux 系统,包括 Kali,Fedora中无法再直接安装OpenVas了,根据网上现有教程执行命令openvas-setup等命令时,在终端报错:openvas-setup: command not found命令找不到新版更新为GVM,此时安装过程如原创 2021-07-28 17:37:18 · 4266 阅读 · 1 评论 -
Web1.2 利用Burp、Zap等抓包工具抓取报文数据包(浏览器数据包,移动设备数据包等)
引言上一篇Task1.1中利用浏览器进行抓包的方式有一定的局限性:例如Google的开发者工具无法直接对请求进行编辑重发,需要通过Copy as fetch/powershell的方式间接实现火狐浏览器可以直接对请求进行编辑,但无法做到本地保存(好像)。尤其当我们想要抓取移动设备数据包时,浏览器抓包更无法实现。因此我们需要一款抓包工具,常用的是Burpsuite,Burp的教程有很多,实际上手也比较简单,具体可以参考这篇 链接: Burpsuite实战指南.Zap也可以进行抓包分析(虽然用的不习惯原创 2021-07-13 21:48:53 · 960 阅读 · 0 评论 -
Web1.1 利用浏览器内置开发者工具进行抓包分析
TASK 2.1 浏览器抓包http报文的基本结构通过Burp或者Chome的开发者工具可以抓取数据包请求报文左边请求报文内容为GET /weathernew/pc?query=%E9%99%95%E8%A5%BF%E8%A5%BF%E5%AE%89%E5%A4%A9%E6%B0%94&srcid=4982&city_name=%E8%A5%BF%E5%AE%89&province_name=%E9%99%95%E8%A5%BF HTTP/1.1Host: weather原创 2021-07-08 20:31:40 · 1258 阅读 · 0 评论