DVWA类似一个脆弱漏洞百出的网站,所以搭建要有lamp一般性步骤 1.安装Apache2 2.安装PHP 3.安装并配置MySQL MySQL的配置可以参照我之前的随笔。 4.安装phpmyadmin 5.官网下载DVWA压缩包 http://www.dvwa.co.uk/ 6.将解压后的DVWA ...
分类:
系统相关 时间:
2019-02-06 09:28:10
阅读次数:
492
一、基本擦作: 二、将dvwa-master.zip解压到html目录下,重命名为dvwa,并将config目录下的config.inc.php.dist复制为config.inc.php。访问localhost/dvwa验证: (我自己都不知道root的密码,在/etc/php/7.2/apach ...
分类:
系统相关 时间:
2019-02-02 17:07:48
阅读次数:
209
看到标题,是否有点疑惑 CSP 是什么东东。简单介绍一下就是浏览器的安全策略,如果 标签,或者是服务器中返回 HTTP 头中有 `Content-Security-Policy` 标签 ,浏览器会根据标签里面的内容,判断哪些资源可以加载或执行。阮一峰老师也有关于 CSP 的文章,大家可以看看 ...
分类:
其他好文 时间:
2019-01-03 23:08:14
阅读次数:
308
新版本的 DVWA 有新东西,其中一个就是这个 JavaScript 模块了。玩法也挺特别的,如果你能提交 success 这个词,成功是算你赢了。也看得我有点懵逼。 ...
分类:
编程语言 时间:
2019-01-02 13:33:39
阅读次数:
2163
Cross-site scripting 攻击,为和 CSS 有所区分,所以叫 XSS。又是一种防不胜防的攻击,应该算是一种 **“HTML注入攻击”**,原本开发者想的是显示数据,然而攻击者输入却是有破坏性的代码,而且能被解析执行。Symantec在2007年报告更是指出跨站脚本漏洞大概占所有网站... ...
分类:
其他好文 时间:
2018-12-27 23:45:41
阅读次数:
423
文件包含(file Inclusion)是一种很常见的攻击方式,主要是通过修改请求中变量从而访问了用户不应该访问的文件。还可以通过这个漏洞加载不属于本网站的文件,比如一个 webshell 从而实现网站控制。下面一起来看看 DVWA 中的文件包含漏洞。 ...
分类:
其他好文 时间:
2018-12-27 23:08:40
阅读次数:
235
说起文件上传漏洞 ,可谓是印象深刻。有次公司的网站突然访问不到了,同事去服务器看了一下。所有 webroot 文件夹下的所有文件都被重命名成其他文件,比如 jsp 文件变成 jsp.s ,以致于路径映射不到 jsp 文件,同事怀疑是攻击者上传了个 webshell 文件然后进行批量重命名了。 ...
分类:
Web程序 时间:
2018-12-27 23:00:18
阅读次数:
327
反射型 LOW 源码: 对输入没有任何过滤 弹窗成功 Medium 源码: 过滤掉了<script>,将其变为空 可以双写绕过 成功弹窗 High 源码: 使用正则过滤掉<script> 此时可利用img等其他标签绕过 弹窗成功 Impossible 源码: 此处调用htmlspecialchars ...
分类:
其他好文 时间:
2018-11-15 01:41:05
阅读次数:
210
0x01 安装PHP集成环境 我这里用的是phpstudy 2016,这个使用起来比较方便。下面是现在的最新版。 http://www.phpstudy.net/phpstudy/phpStudy20161103.zip 下载后然后放在安装好的Win7种执行。 安装起来比较容易,一直点下一步。然后会 ...
分类:
其他好文 时间:
2018-11-10 21:51:45
阅读次数:
434
XSS(DOM)是一种基于DOM树的一种代码注入攻击方式,可以是反射型的,也可以是存储型的,所以它一直被划分第三种XSS 与前两种XSS相比,它最大的特点就是不与后台服务器交互,只是通过浏览器的DOM树解析产生 除了js,flash等脚本语言也有可能存在XSS漏洞 关于DOM,墙裂推荐《JavaSc ...
分类:
其他好文 时间:
2018-11-03 20:20:59
阅读次数:
236
