跨站脚本攻击(XSS)又叫CSS,全称是Cross Site Script,为了与HTML中的层叠样式表CSS区分开所以叫做XSS。一共分为三种:存储型XSS、反射型XSS和DOM型XSS。原理是攻击...
10月05日34 views评论dvwa
xss
DVWA | DOM型XSS
10月05日34 views评论dvwa
xss
10月05日34 views评论dvwa
xss
DVWA | 文件包含
文件包含是在通过PHP的函数引入文件时,由于传入的文件名没有经过合理的校验,从而操作了预想之外的文件,导致意外的文件泄露甚至恶意的代码注入。LOW首先使用文件上传漏洞上传一个php文件或者可以在文件目...
10月02日39 views评论phpinfo
文件包含
bwapp靶场搭建
0x00 基本准备phpstudy环境,可从该网址下载https://www.xp.cn/download.htmlbwapp下载地址https://github.com/raesene/bWAPP完...
09月29日79 views评论dvwa
phpstudy
SQL注入到Getshell和OOB
Web安全视频课程(持续更新中)0x00 前言 上一节,我们已经介绍了基本的SQL查询语句,常见的SQL注入类型,DVWA靶场演示SQL注入。学习了上一节我们可以做到执行任意SQL语句,主...
09月21日69 views评论getshell
sql注入
DVWA|暴力破解
DVWA中设置有四个安全等级,分别是:low、medium、high、impossible,难度依次递增。安全等级在左边菜单栏选项中的DVWA Security选项下设置,如图:BurteForce也...
08月28日71 views评论burpsuite
暴力破解
常见渗透测试靶场
1.DVWA 作为新手,通常第一个听说的靶场应该就是DVWA,部署简单安装完对应版本的PAM(PHP-Apache-MySQL),简单配置后就可以使用。 1、DVWA靶场可测试漏洞:暴力破解(Br...
05月12日61 views评论php
漏洞
Kali Linux Web渗透测试手册(第二版) - 6.2 - 文件包含和文件上传
翻译来自:掣雷小组成员信息:thr0cyte,Gr33k,花花,MrTools,R1ght0us,7089bAt标记红色的部分为今日更新内容。标记红色的部分为今日更新内容。6.0、介绍6.1、寻找文件...
05月01日47 views评论php
web
新版DVWA的安装
以前实践过DVWA,本周有工作需要安装新版DVWA,过程中发现跟以前有不一样的地方,以下是安装记录,ubuntu18.04.5,安装需要的软件,sudo apt-get -y install apac...
03月07日125 views评论password
php
haproxy-ingress + modsecurity的实践
本周实践了带WAF功能的haproxy-ingress,首先部署一个dvwa的应用,vim dvwa-deployment.yaml,apiVersion: apps/v1kind: Deployme...
02月20日113 views评论app
name
黑客学习路线-从入门到精通(文末附学习资料)
黑客学习路线-从入门到精通(自学时长:15周)学习过程:快就是慢,慢就是快!一、基础能力(2周) 1、Linux基础与服务搭建 Web应用运行原理与操作系统 虚拟机使用与Li...
01月14日314 views评论php
web
代码审计第五节
代码审计第五讲主要介绍了一些实例挖掘漏洞,进而分析xss漏洞,在实际cms中的影响。本例先从dvwa实际例子开始分析,由于观看人数水平参差不急,所以从最基础开始讲起。让每一个看文章有所收获。DVWA ...
01月06日94 views评论web
xss
干货|24+常见渗透测试漏洞靶场列表
0x01 前言记得去年团队里一个朋友说是要测试一下自家公司开发的漏扫,让帮着找下有哪些在线靶场?以前也收藏过一些漏洞靶场,但他要求在线的才好测试,所以重新搜集整理了这份漏洞靶场列表,现在分享出来供大家...
12月29日263 views评论https
信息安全
7