随笔分类 - DVWA
摘要:XSS 全称Cross Site Scripting,即跨站脚本攻击。 指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行。 XSS不仅限于JavaScript,还包括flash等其它脚本语言。 XSS分类: 根据恶意代码是否存储在服务器中,XSS可以分为存储型的X
阅读全文
摘要:SQL Injection(Blind) SQL盲注与一般注入的区别: 一般的注入攻击者可以直接从页面上看到注入语句的执行结果。 盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。 目前网络上现存的SQL注入漏洞大多是SQL盲注。 盲注分
阅读全文
摘要:SQL Injection 攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。 SQL注入漏洞的危害是巨大的,常常会导致整个数据库被“脱裤”,尽管如此,SQL注入仍是现在最常见的Web漏洞之一。 近期很火的大使馆接连被黑事件,据说黑客依靠的就是常见的SQL注
阅读全文
摘要:Insecure CAPTCHA CAPTCHA是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称。 但个人觉得,这一模块的内容叫做不安全的验证流程更妥当些
阅读全文
摘要:File Upload 通常是由于对上传文件的类型、内容没有进行严格的过滤和检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的,Apache、Tomcat、Nginx等都曝出过文件上传漏洞。 Low: 首先查看服务器端核心代码: 相关函数介绍:
阅读全文
摘要:File Inclusion 指当服务器开启allow_url_include选项时,就可以通过php的某些特性函数include(),require()和include_once(),require_once()利用url去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文件读取或者
阅读全文
摘要:CSRF 全称Cross-site request forgery,翻译过来就是跨站请求伪造。 指利用受害者尚未失效的身份认证信息(cookie或者会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(
阅读全文
摘要:Command Injection 通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。 PHP命令注入攻击漏洞是PHP应用程序中常见的脚本漏洞之一,国内著名的Web应用程序Discuz!、DedeCMS等都曾经存在过该类型漏洞。 Low: 首先查看服务器端核心代码: 相关函数介绍:
阅读全文
摘要:Brute Force 黑客利用密码字典,使用穷举法猜解出用户口令。 两个小知识: 1.在DVWA各模块右下角有一个View Source的按钮,可以查看DVWA服务器端核心代码: 2.在DVWA Security中可切换等级: LOW: 查看服务器端代码: isset函数在php中用来检测变量是否
阅读全文
摘要:我是在VM虚拟机Windows Server 2008 R2 x64中部署DVWA环境的。。。 资源准备: DVWA源码下载:http://www.dvwa.co.uk/ phpstudy下载:hrrp://down.php.cn/PhpStudy20180211.zip 联网下载安装phpStud
阅读全文
浙公网安备 33010602011771号