DVWA-File_Inclusion

File Inclusion,文件包含。是指当服务器开启 allow_url_include 选项时,就可以通过php的某些特性函数(include(),require()和include_once(),require_once())利用url去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文件读取或者任意命令执行。文件包含分为:本地文件包含漏洞:使用了某些特性函数(如 inclu

- 阅读全文 -

DVWA-File_Upload

File Upload,文件上传,通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限。Low<?php if( isset( $_POST[ 'Upload' ] ) ) { // Where are we going to be writing to? $target_path = DVWA_WEB_PAG

- 阅读全文 -

DVWA-CSRF

CSRF,Cross-site request forgery,跨站请求伪造。CSRF与XSS最大的区别就在于,CSRF并没有盗取cookie而是直接利用。Low<?php if( isset( $_GET[ 'Change' ] ) ) { // Get input $pass_new = $_GET[ 'password_new' ]; $pass_conf =

- 阅读全文 -

DVWA-Command_Injection

Command Injection:命令注入,也可说是命令执行。Low<?php if( isset( $_POST[ 'Submit' ] ) ) { // Get input $target = $_REQUEST[ 'ip' ]; // Determine OS and execute the ping command. if( stristr( p

- 阅读全文 -

DVWA-XSS

XSS,Cross Site Scripting,跨站脚本攻击。DVWA中 XSS (Reflected) 和 XSS (Stored) 代码等级类似,只是表现形式不一样,反射型和存储型,故合二为一。XSS类型反射型:发生在客户端,非持续型。输入--输出。存储型:发生在服务端,持续型。输入--写入数据库-读取数据库--输出。DOM型:Document Object Model,文档对象模型。发生在

- 阅读全文 -

DVWA-SQL_Injection (Blind)

SQL Injection(Blind),SQL盲注。与普通注入的区别:普通注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。盲注分类:1.布尔盲注(返回true/false)2.基于时间的盲注(通过sleep()函数,真值立即返回结果,假值或不存在,延迟几秒返回)3.基于报错的盲注

- 阅读全文 -

网站公告

    此人很懒,没有什么要说的。

博客统计

  • 文章总数:26 篇
  • 评论总数:42 条
  • 最后更新:2019 年 05 月 08 日
  • 本次加载:30 ms

最新回复

  • 错票博客: 很能体会博主的心声,我以前也是因为一些阶段的疲累和迷茫,选择了半...
  • Mr.Chou: 没玩过那些平台,嘿嘿·
  • unclebryan: 博主你好,我的是搬瓦工vps,ip被封了 我按照教程尝试了,但是...
  • 心灵博客: 第三方都不靠谱,哪怕是大平台
  • 逆时针: 还有这样的平台吗?一会去看看
  • 十年之约项目组: 要坚持个人博客哦,记得自己带的十年之约,十年之约要求独立博客
  • 灰常记忆: 会经营不下去? 我给你推荐一款小鸡😂
  • 金博客: 平台能自带流量,对新博客有好处。
  • 心灵博客: 我就中招了。 我用的是2014版本,我确认它的5.2.17和5...
  • repostone: 非技术的路过。

分类

标签

其它