OWASP TOP10

什么是OWASP？

它的全称是 Open Web Application Security Project（开放式 Web 应用程序 安全 项目）

TOP 10

OWASP Top 10的意思就是10项最严重的Web 应用程序安全风险列表 ，它总结了Web应用程序最可能、最常见、最危险的十大漏洞，是开发、测试、服务、咨询人员应知应会的知识。

具体的十大漏洞，下载地址。

https://nchc.dl.sourceforge.net

里面的内容很多，我慢慢来做。

我先从DVWA这个做起来。

DVWA的内容也挺丰富的。暴力，命令注入，跨站，验证码绕过，文件包含，sql注入，盲注，文件上传漏洞，xss漏洞，存储型xss漏洞。

以上内容又分为三个等级，简单，中等，困难。

右下角可以查看源代码。白盒测试，对于新手很友好

1，暴力破解

OWASP TOP10-腾讯云开发者社区-腾讯云

2，命令注入

OWASP TOP10-腾讯云开发者社区-腾讯云

3，跨站请求

OWASP TOP10-腾讯云开发者社区-腾讯云

4，验证码绕过

因为这个靶机没有联网，所以拿不到验证码。我们直接看源码分析然后绕过就好了。

step=1的时候拿到用户的user和passwd，但是这个输入框很明显只有两个passwd。然后验证验证码对不对，如果不对直接结束。对的话就检验两次密码是否一致，然后在把step=2。进入下一步在检测一次对不对。对就md5一下然后写进去。

抓包看一下，这里我们可以修改step绕过前面一大段的验证码检验。

把step改成2就可以了。

看一下中等难度。

其实完全一模一样，在判断验证码的时候加入了passed_captcha这个校验而已绕过这个对于true就可以绕过下面的判断。相当于是绕过整体的验证码。

还是抓包分析一下。

和之前一样修改一下step，从源码上分析出来他还要一个passed_captcha而且这个还要让他对于true。

改成这样就好了

看一困难难度。

和之前一样，但是这次的验证码无法绕过，因为这次的验证码判断是在另一部分检验的。同时要求用户输入之前的密码。这个防御等级就很高了