初学安全,我也不知道从哪里开始,网上找了点教程,接触了DVWA,我用自己的服务器搭建了一个平台,从头开始看。第一个模块就是Brute Force,说白了就是暴力破解。然后我发现,我操,这玩意儿跟我写的爬虫贼像???? 原理应该就是先抓包,然后伪造一个header,不停的改变密码,然后post上去,找 ...
分类:
其他好文 时间:
2017-04-25 00:50:49
阅读次数:
230
DVWA(Dam Vulnerable Web Application)是基于PHP+Mysql的一套用于常规Web漏洞教学和检测Web脆弱性测试程序,包含了SQL注入,Xss,盲注等常用的一些安全漏洞。此外,由于它是一个包含很多漏洞的系统,建议将它装在单独的一个机器上,以免其他应用受到牵连。由于是 ...
分类:
其他好文 时间:
2017-03-08 17:56:32
阅读次数:
3849
Brute Force(暴力测试): 对比难度为Low和high的代码可以发现 相对于Low,High在用户名和密码处分别加了两个过滤函数 Stripslashes: 输入:字符串。 输出:返回一个去除转义反斜线后的字符串(\' 转换为 ' 等等)。双反斜线(\\)被转换为单个反斜线(\)。 mys ...
分类:
其他好文 时间:
2017-02-25 00:10:26
阅读次数:
631
File Upload(文件上传) 当等级为low时未做任何防护,可直接上传shell 当等级为medium时源代码为 代码对文件的类型和以及大小进行了限制 抓包分析一个图片文件和一个php文件,将 区别在于Content-type,上传1.php文件,抓包将Content-type字段改成imag ...
分类:
Web程序 时间:
2017-02-25 00:05:05
阅读次数:
443
SQL Injection(SQL注入) 等级为low时直接抓包放入sqlmap 直接就能跑出来 等级为medium时 SQL Injection (Blind) ...
分类:
数据库 时间:
2017-02-24 23:44:18
阅读次数:
194
本文由阿德马翻译自国外网站,请尊重劳动成果,转载注明出处 Burp Suite是Web应用程序测试的最佳工具之一,其多种功能可以帮我们执行各种任务.请求的拦截和修改,扫描web应用程序漏洞,以暴力破解登陆表单,执行会话令牌等多种的随机性检查。本文将做一个Burp Suite完全正的演练,主要讨论它的 ...
分类:
其他好文 时间:
2017-01-05 16:53:33
阅读次数:
196
1、 由于所发教程前几步没有实现,故直接打开浏览器输入localhost/1.php,打开后即为所要页面 2、用cd /var/www/html 命令进入apache web目录 3、用wget https://github.com/ethicalhack3r/DVWA/archive/master ...
分类:
系统相关 时间:
2016-12-09 19:43:58
阅读次数:
328
自己的第二套教程“PHP代码审计入门教程”终于上线了,http://edu.51cto.com/course/course_id-7776.html。这套教程以DVWA为平台,从PHP代码的角度分析了SQL注入、XSS、CSRF、命令注入、文件包含等常见Web漏洞的形成原因及修补方法。由于WAF在比赛中所占比重越来越少,所以教程..
分类:
Web程序 时间:
2016-12-09 10:45:12
阅读次数:
399
很长一段时间像我这种菜鸡搞一个网站第一时间反应就是找上传,找上传。借此机会把文件上传的安全问题总结一下。 首先看一下DVWA给出的Impossible级别的完整代码: 我们来分析一下文件安全上传的流程: 那些年程序员跟我一起踩过的雷(应用开发常见的错误,对照上文开发流程) 不吹不黑,除了一些自己做过 ...
分类:
Web程序 时间:
2016-12-05 23:14:24
阅读次数:
253
1测试环境介绍测试环境为OWASP环境中的DVWA模块2测试说明XSS又叫CSS(CrossSiteScript),跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的,比如获取用户的cookie,导航..
分类:
其他好文 时间:
2016-11-30 23:42:34
阅读次数:
360