Guessing Login Information on Login Pages Our target website: http://10.0.0.45/dvwa/login.php Execute the Python Script. ...
分类:
编程语言 时间:
2019-10-20 11:22:35
阅读次数:
93
本次使用BP的inturder模块,测试该模块下四种爆破方式的异同 四种方式爆破DVWA(Brute Force)测试 工具:burpsuite,使用intruder模块 环境:DVWA,security设置为low 1、sniper 两个参数 一个字典(知晓其中一个参数) 先匹配第一项,再匹配第二 ...
分类:
其他好文 时间:
2019-10-17 13:45:39
阅读次数:
572
安全性测试入门 (三):CSRF 跨站请求伪造攻击和防御 本篇继续对于安全性测试话题,结合DVWA进行研习。 CSRF(Cross-site request forgery):跨站请求伪造 1. 跨站请求伪造攻击 CSRF则通过伪装成受信任用户的请求来利用受信任的网站,诱使用户使用攻击性网站,从而达 ...
分类:
其他好文 时间:
2019-10-12 13:19:28
阅读次数:
95
安全性测试入门(二):Command Injection命令行注入攻击和防御 本篇继续对于安全性测试话题,结合DVWA进行研习。 Command Injection:命令注入攻击。 1. Command Injection命令注入 命令注入是通过在应用中执行宿主操作系统的命令,来达到破坏目的的一种攻 ...
分类:
其他好文 时间:
2019-10-12 13:07:01
阅读次数:
124
使用BP和Hydra爆破相关服务 Hydra:九头蛇,开源的功能强大的爆破工具,支持的服务很多,使用Hydra爆破C/S架构的服务。使用Bp爆破web登录窗口。 DVWA:web应用程序漏洞演练平台,开源,集成的常见web漏洞,使用PHP+mysql环境的支持; 爆破=爆破工具(bp+bydra)+ ...
分类:
其他好文 时间:
2019-09-27 22:54:48
阅读次数:
125
Hydra:九头蛇,开源的功能强大的爆破工具,支持的服务有很多,使用hydra爆破C/S架构的服务。 使用burpsuite爆破WEB登录窗口 DVWA:web应用程序漏洞演练平台,开源,集成的有常见的web漏洞,使用PHP+MYSQL的支持 爆破=爆破工具(BP/hydra)+字典(用户字典/密码 ...
分类:
其他好文 时间:
2019-09-25 12:21:06
阅读次数:
103
low 利用: 源码分析: $_REQUEST[]具用$_POST[] $_GET[]的功能,但是$_REQUEST[]比较慢。通过post和get方法提交的所有数据都可以通过$_REQUEST数组获得 php_uname — 返回运行 PHP 的系统的有关信息 stristr() 函数搜索字符串在 ...
分类:
其他好文 时间:
2019-09-14 01:11:48
阅读次数:
195
DOM,全称Document Object Model,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式。 DOM型XSS其实是一种特殊类型的反射型XSS,它是基于DOM文档对象模型的一种漏洞。 在网站页面中有许多页面的元素,当页面到达浏览器时浏览器会为页面创 ...
分类:
其他好文 时间:
2019-08-20 11:07:41
阅读次数:
178
CSRF 介绍 CSRF,全称Cross-site request forgery,即跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操 ...
分类:
其他好文 时间:
2019-08-20 10:30:02
阅读次数:
128
几天没发blog,又没学到啥,刚好今天我们学校网安协会的课开播了,今天就把之前收集过VMware上装了kali之后通过共享文件夹从本机上传到最后安装dvwa的比较全的过程,还有一些大佬之前有用的文章整合一下,但是,不一定适用于所有人。快九月了,新生来到之后没准可以看看。 一.安装VMware-too ...
分类:
其他好文 时间:
2019-08-10 21:09:40
阅读次数:
166
