DVWA靶场实战(十) 五.XSS(DOM): 1．漏洞原理: XSS全称为Cross Site Scripting,由于和层叠样式表(Cascading Style Sheets,CSS)重名,所以为了区别别叫做XSS.主要基于JavaScript语言进行恶意攻击,因为JS非常灵活操作html.css.浏览器. 2．漏洞分类: (1)反射型: 非持久型XSS,最容易出现的XSS漏洞.在用户请求某个URL地址的时候,会携带一部分数据.当客户端进行访问某个链接时,攻击者可以将恶意代码注入到URL,…

DVWA靶场实战(十二) 五.XSS(Stored): 1．漏洞原理: XSS的Stored被称作存储型XSS漏洞,漏洞的原理为语句被保存到服务器上,显示到HTML页面中,经常出现在用户评论的页面,攻击者将XSS代码保存到数据库中,当用户在此访问这个页面时,就会触发XSS代码,窃取用户敏感信息. 2．漏洞特点: 危害性为XSS三种类型中最大的,因为他是存储在服务器上,持久型的XSS漏洞,JS代码不在某个参数中,而是被写进了数据库或文件可以永久保存数据的介质中,如留言板等. 3．实战: (1)Lo…

DVWA靶场实战(四) 四.File Inclusion: 1.漏洞原理: 随着网站的业务的需求,程序开发人员一般希望代码更加灵活,所以将被包含的文件设置为变量,用来进行动态调用,但是正是这种灵活性通过动态变量的方式引入需要包含的文件时,用户对这个变量可控而且服务端又没有做合理的校检或者校检被绕过就造成了文件包含漏洞. 2. 常见函数: (1) include()当前使用该函数包含文件时,只有代码执行到include()将文件包含起来,发生错误时给出一个警告,然后将继续执行语句. (2) inc…

DVWA靶场实战(五) 五.File Upload: 1．漏洞原理: File Upload中文名叫做文件上传,文件上传漏洞是指用户上传了一个可执行脚本文件(php.jsp.xml.cer等文件),而WEB系统没有进行检测或逻辑做的不够安全.但文件上传功能本身没有问题,问题在于上传后如何处理以及解析文件.一般情况下,WEB应用都会允许上传一些文件,如头像.附件.等信息,如果Web应用没有对用户上传的文件有效的检查过滤,那么恶意用户就会上传一句话木马等Webshell,从而达到控制Web网站的目的…

DVWA靶场实战(七) 七.SQL Injection: 1．漏洞原理: SQL Inject中文叫做SQL注入,是发生在web端的安全漏洞,主要是实现非法操作,例如欺骗服务器执行非法查询,他的危害在于黑客会有恶意获取,甚至篡改数据库信息,绕过登录验证,原理是针对程序员编写数据库程序的疏忽,通过执行SQL语句,实现目的性攻击,他的流程可以分为判断数据库类型.判断数据库版本.判断注入点.判断注入类型.判断数据字段数.判断显示位.获取数据库中的信息. 简单来说就是通过web表单把SQL命令提交到数据…

DVWA靶场实战(三) 三.CSRF: 1．漏洞原理: CSRF(Cross-site request forgery),中文名叫做"跨站请求伪造",也被称作"one click attack/session riding",缩写为"CSRF/XSRF".在场景中,攻击者会伪造一个请求(通常是一个链接),然后欺骗目标用户点击,一但用户点击,攻击也就完成了. 同"XSS"的区别在于,CSRF是借助用户权限完成攻击,攻击者并没有拿…

DVWA靶场实战(二) 二.Command Injection: 1.漏洞介绍: Command Injection,中文叫做命令注入,是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的.PHP命令注入攻击漏洞是PHP应用程序常见的脚本漏洞之一. 2.漏洞成因: (1)外部参数可控: 应用程序调用了执行系统命令的函数,比如服务器程序通过system.eval.exec等函数直接或者间接的调用cmd.exe. (2)内部拼接命令: 服务器将输入的恶意参数拼接到正常命令中,从而执…

DVWA靶场实战(一) 一.Brute Force: 1.漏洞原理: Brute Force是暴力破解的意思,大致原理就是利用穷举法,穷举出所有可能的密码. 2.攻击方法: Burpsuite中的Intruder功能常被用于密码爆破功能. 打开Burpsuite找到Proxy在Options中配置好端口,再点击"Intercept is on"开始拦截数据包,点击Login获取如下数据包,并右键点击"Send to Intruder"或者直接"Ctrl+I…

DVWA靶场实战(六) 六.Insecure CAPTCHA: 1．漏洞原理: Insecure CAPTCHA(不安全的验证码),CAPTCHA全程为Completely Automated Public Turing Test to Tell Computers and Humans Apart(全自动区分计算机和人类的图灵测试)的简称.这一模块的内容叫做不安全的验证流程比较好,主要是验证流程出现了逻辑漏洞,而不是谷歌的验证码有问题.这一模块验证码使用的是Google提供的reCAPTCHA…

DVWA靶场实战(九) 九.Weak Session IDS: 1.漏洞原理: Weak Session IDS也叫做弱会话,当用户登录后,在服务器就会创造一个会话(session),叫做会话控制,接着访问页面的时候就不用登录,只需要携带Session去访问. SessionID作为特定用户访问站站点所需要的唯一内容.如果能够计算或轻易猜到该sessionID,则攻击者将可以轻易的获取访问控制权,无需登录直接进入特定用户界面,进而进行其他操作. 用户访问服务器的时候,在服务器端会创造一个新的会话…