Day2 web漏洞原理与利用

一、尝试破解登录网站

        在输入框输入特殊字符发现收到保护

  根据SQL语句格式尝试构造永真式

        

二、跨站请求伪造

        http://IP/DVWA/vulnerabilities/csrf/?password_new=123&password_conf=123&Change=Change# (

        在密码修改处根据网址进行伪造,在网站中找到短链接生成网址对修改密码进行伪造,发送给网站用户诱导其访问网站实现密码修改。

三、文件上传一句话木马

        找到可以上传文件的位置进行木马上传

  利用菜刀获取后台数据库文件

四、跨站脚本

        

打开XSS(DOM)界面,点击Select按钮,修改地址栏中的default属性为< script>alert('XXX')< /script>,回车后命令被执行。

打开XSS(Reflected)界面,点击Submit,修改地址栏中的name=< script>alert('XXX')< /script>。利用在线短链接生成器(https://www.985.so/)伪造该链接,将短链接发送给用户,命令被执行

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值