随笔分类 -  DVWA

DVWA--XSS(Reflected)、XSS(Stored)(跨站脚本攻击)
摘要:XSS XSS,全称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。根据恶意代码是否存储在 阅读全文
posted @ 2020-02-06 21:04 ApricityJ 阅读(534) 评论(0) 推荐(0)
DVWA--SQL Injection(Blind) 盲注
摘要:SQL Injection(Blind) SQL Injection(Blind),即SQL盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。目前网络上 阅读全文
posted @ 2020-02-05 18:14 ApricityJ 阅读(307) 评论(0) 推荐(0)
DVWA--SQL Injection(SQL注入)
摘要:SQL Injection SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。 SQL 阅读全文
posted @ 2020-02-03 19:39 ApricityJ 阅读(767) 评论(0) 推荐(0)
DVWA--Insecure CAPTCHA(不安全的验证码)
摘要:Insecure CAPTCHA 不安全的验证码,CAPTCHA是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称,这块主要是验证流程出现了逻辑漏洞。 可能 阅读全文
posted @ 2020-01-31 17:43 ApricityJ 阅读(387) 评论(0) 推荐(0)
DVWA--File Upload(文件上传)+中国菜刀下载及使用
摘要:File Upload File Upload,即文件上传漏洞,通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,简单来说文件上传是指攻击者通过上传可执行脚本功能,从而获取服务器端可执行命令的权限 本次实验需要用到中国菜刀 ,所以我 阅读全文
posted @ 2020-01-21 16:24 ApricityJ 阅读(2319) 评论(0) 推荐(0)
DWVA--File Inclusion(文件包含)
摘要:文件包含漏洞是一种最常见的漏洞类型,它会影响依赖于脚本运行时的web应用程序。当应用程序使用攻击者控制的变量构建可执行代码的路径时,文件包含漏洞会导致攻击这个人已控制运行时执行的文件。开发人员为了使代码更灵活,会将被包含的文件设置为变量,用来进行动态调用,从而导致客户端可以恶意调用一个恶意文件,造成 阅读全文
posted @ 2020-01-18 15:56 ApricityJ 阅读(258) 评论(0) 推荐(0)
DVWA--CSRF(跨站请求伪造)
摘要:CSRF,全程Cross-site request forgery,跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息对应的)服务器发送请求,从而完成非法操作(如转账、改密等) 阅读全文
posted @ 2020-01-16 17:17 ApricityJ 阅读(266) 评论(0) 推荐(0)
DVWA--Command Injection(命令行注入)
摘要:Command Injection,即命令注入,是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。PHP命令注入攻击漏洞是PHP应用程序中常见的脚本漏洞之一 用户通过浏览器提交执行命令,由于服务器端没有对执行函数进行过滤,从而造成可以执行危险命令。 命令连接符: command 阅读全文
posted @ 2020-01-15 21:23 ApricityJ 阅读(1428) 评论(0) 推荐(0)
DVWA--Brute Force(暴力破解)
摘要:Brute Force 暴力破解指攻击者枚举其准备的用户名和密码字典同时进行登陆,通过响应结果从而得到正确用户名和密码的过程。 需要软件 firefox浏览器,burpsuite 自我总结 做完全级别暴力破解实验,自己对这三个级别的理解,Medium比low多出来的就是针对用户名和密码进行转义处理, 阅读全文
posted @ 2020-01-14 21:16 ApricityJ 阅读(391) 评论(0) 推荐(0)
Dvwa——环境部署
摘要:DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。DVWA是randomstorm的一个开源项目。如果你 阅读全文
posted @ 2020-01-13 14:03 ApricityJ 阅读(630) 评论(0) 推荐(0)
DVWA--简介
摘要:DVWA——简介 Web应用程序(DVWA)是一个很容易受到攻击的PHP / MySQL Web应用程序。其主要目标是帮助安全专业人员在法律环境中测试他们的技能和工具,帮助Web开发人员更好地了解保护Web应用程序的过程,并帮助学生和教师了解受控类中的Web应用程序安全性房间环境。 DVWA的目标是 阅读全文
posted @ 2020-01-13 13:33 ApricityJ 阅读(879) 评论(0) 推荐(0)