当前位置:网站首页>[Kali Security Penetration Testing Practice Course] Chapter 8 Web Penetration
[Kali Security Penetration Testing Practice Course] Chapter 8 Web Penetration
2022-08-10 03:20:00 【Xiaoyuan Xiaoyuan eats dumplings】
第8章 Web渗透
8.1 WebIntroduction to the penetration drill platform
1.DVWA
2.OWASP WebGoat
3.OWASP Broken Web Applications Project(OWASP BWA)
4.OWASP Mantra
5.OWASP Hackademic
6.Buggy Web Application(BWAPP)
7.Mutillidae
8.SQLol
9.Hackxor
10.BodgeIt
11.WackoPicko
12.XSSeducation
8.2 2017 OWASP Top 10 漏洞
1.注入漏洞(Injection)
2.中断身份认证(Broken Authentication)
3.敏感数据泄露(Sensitive Data Exposure)
4.XML外部处理器漏洞(XML External Entities,XXE)
5.中断访问控制(Broken Access Control)
6.安全配置错误(Security Misconfiguration)
7.跨站脚本攻击(Cross-Site Scripting,XSS)
8.不安全的反序列化(Insecure Deserialization)
9.使用含有已知漏洞的组件(Using Components with Known Vulnerabilities)
10.不足的记录和监控漏洞(Insufficient Logging&Monitoring)
8.3 Web渗透测试环境搭建
8.4 WebPenetration testing drills
8.4.1 暴力破解(Brute Force)
1.启动并初始化Burp Suite
2.Burp Suite服务代理设置
3.浏览器代理设置
4.破解DVWA登录页面
(1)用户名已知,crack its password
(2)用户名和密码都未知,need to be broken
8.4.2 命令执行(Command Execution)
1.在靶机上执行who命令
2.在靶机上执行ls命令
8.4.3 SQL注入(SQL Injection)
1.Determine the existence and type of injection vulnerabilities
2.判断SQL查询语句中的字段数
3.确定显示的字段顺序
4.获取当前数据库
5.获取数据库中的表
6.获取表中的字段名
7.Read the data in the data table
8.5 本章小结
边栏推荐
猜你喜欢
随机推荐
翻译软件免费版下载-免费版翻译软件下载
数据库治理利器:动态读写分离
程序员的专属浪漫——用3D Engine 5分钟实现烟花绽放效果
mysql -sql编程
《GB39732-2020》PDF下载
LeetCode每日两题02:两数之和 II - 输入有序数组 (均1200道)
Deep Learning (5) CNN Convolutional Neural Network
《GB39707-2020》PDF download
2022.8.9考试立方和--1100题解
what is a microcontroller or mcu
xss的DOMPurify过滤框架:一个循环问题以及两个循环问题
2022.8.8考试区域链接(district)题解
2022 Top Net Cup Quals Reverse Partial writeup
QT模态对话框及非模态对话框学习
On the Harvest of Travel
T5:Text-toText Transfer Transformer
2022强网杯 Quals Reverse 部分writeup
Arcgis进阶篇(1)——安装Arcgis Enterprise,创建sde库
2022.8.9考试游记总结
idea 删除文件空行