OWASP TOP10

什么是OWASP？

它的全称是 Open Web Application Security Project（开放式 Web 应用程序 安全 项目）

TOP 10

OWASP Top 10的意思就是10项最严重的Web 应用程序安全风险列表 ，它总结了Web应用程序最可能、最常见、最危险的十大漏洞，是开发、测试、服务、咨询人员应知应会的知识。

具体的十大漏洞，下载地址。

https://nchc.dl.sourceforge.net

里面的内容很多，我慢慢来做。

我先从DVWA这个做起来。

DVWA的内容也挺丰富的。暴力，命令注入，跨站，验证码绕过，文件包含，sql注入，盲注，文件上传漏洞，xss漏洞，存储型xss漏洞。

以上内容又分为三个等级，简单，中等，困难。

右下角可以查看源代码。白盒测试，对于新手很友好

1，暴力破解

OWASP TOP10-腾讯云开发者社区-腾讯云

2，命令注入

OWASP TOP10-腾讯云开发者社区-腾讯云

3，跨站请求

看一下简单难度的CSRF

这个用户给俩密码，判断一下，在转义一下，在md5，然后存到数据库里面去。这个代码就只有防御sql注入而已。

http://192.168.30.49/dvwa/vulnerabilities/csrf/?password_new=12345678&password_conf=12345678&Change=%E6%94%B9%E5%8F%98#

那我们只用修改password_new和password_conf一至就可以修改密码了。前提是我们已经拿到admin账户的cookie，或者是发给管理员让他打开。

中等难度下，就添加了ip判定而已。

这个旁站注入我是不太了解的。

高级的添加了当前密码校验，其实和简单的一样，通过修改password_new和password_conf一至就可以修改密码了，但是呢我们又不知到最新的密码所以就修改不了。