qq_66754192的博客

Web暴力破解通常用在，已知部分信息，尝试爆破网站后台，为下一步的渗透测试做准备。http_referer:是http中header的一部分，向浏览器发送请求时，一般会带上referer，告诉服务器我是从哪个页面链接而来，为服务器处理提供一些信息。但是你不可能一个一个去手动构造数据包，所以在实施暴力破解之前，我们只需要先去获取构造HTTP包所需要的参数，然后扔给暴力破解软件构造工具数据包，然后实施攻击就可以了。顾名思义，暴力破解的原理就是使用攻击者自己的用户名和密码字典，一个一个去枚举，尝试是否能够登录。

其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ，总结了Web应用程序最可能、最常见、最危险的十大漏洞，是开发、测试、服务、咨询人员应知应会的知识，不过OWASP每四年发布一次，现在最新的OWASP是2017年的，在2021年会更新最新的OWASP top 10。（2）某网站上面的资料文件，如pdf、word、xls文件只有付费用户或者会员才可以下载，但当这些文件的 URL 地址泄露后，导致任何人可下载，没有对用户的身份进行验证，如果通过猜解 URL 命名规则，则可以批量下载。

4、根据pikuchu的页面显示线下，找到index.php文件，但是该文件不存在数据库的连接数组，而是在/pikachu/inc/config.inc.php文件，密码为默认为空。5、继续使用Firefox、edeg浏览器输入127.0.0.1+dvwa-master的路径，页面显示没有找到config文件夹下的php文件【默认只有dist文件】5、在/pikachu/inc/config.inc.php文件中修改DBPW的数值为root（默认为空）。A、修改mysql关联的密码（root）。

在日常生活中，我们经常会遇到这样的情况：在浏览网页时，点击链接或提交表单后，浏览器突然跳转到一个完全陌生的网站。攻击者利用这一点，输入了一个包含恶意脚本的留言，该脚本在其他用户查看留言板时被执行，导致浏览器跳转到攻击者指定的网址。输入验证是抵御 XSS 攻击的第一道防线。XSS攻击是一种常见的网络安全威胁，它允许攻击者在合法的网页中注入恶意脚本，这些脚本在用户的浏览器上执行。随便输入，两个方框中都输入111，并点击提交留言，可以看到刚才输入的名字111和留言内容111都显示在下方，就是平时的评论功能。