什么是OWASP?
它的全称是 Open Web Application Security Project(开放式 Web 应用程序 安全 项目)
TOP 10
OWASP Top 10的意思就是10项最严重的Web 应用程序安全风险列表 ,它总结了Web应用程序最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识。
具体的十大漏洞,下载地址。
https://nchc.dl.sourceforge.net里面的内容很多,我慢慢来做。
我先从DVWA这个做起来。
DVWA的内容也挺丰富的。暴力,命令注入,跨站,验证码绕过,文件包含,sql注入,盲注,文件上传漏洞,xss漏洞,存储型xss漏洞。
以上内容又分为三个等级,简单,中等,困难。
右下角可以查看源代码。白盒测试,对于新手很友好
1,暴力破解
2,命令注入
3,跨站请求
4,验证码绕过
因为这个靶机没有联网,所以拿不到验证码。我们直接看源码分析然后绕过就好了。
step=1的时候拿到用户的user和passwd,但是这个输入框很明显只有两个passwd。然后验证验证码对不对,如果不对直接结束。对的话就检验两次密码是否一致,然后在把step=2。进入下一步在检测一次对不对。对就md5一下然后写进去。
抓包看一下,这里我们可以修改step绕过前面一大段的验证码检验。
把step改成2就可以了。
看一下中等难度。
其实完全一模一样,在判断验证码的时候加入了passed_captcha这个校验而已绕过这个对于true就可以绕过下面的判断。相当于是绕过整体的验证码。
还是抓包分析一下。
和之前一样修改一下step,从源码上分析出来他还要一个passed_captcha而且这个还要让他对于true。
改成这样就好了
看一困难难度。
和之前一样,但是这次的验证码无法绕过,因为这次的验证码判断是在另一部分检验的。同时要求用户输入之前的密码。这个防御等级就很高了
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
腾讯云开发者
