burp
关注
分享
扫一扫
文章平均质量分 92
没人不认识我
学无止境
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
2019-2-19 dvwa学习(2)--Burp suite安装运用,sqlmap的payload简介和数值型注入(级别medium)
在搭建了dvwa环境和初步研究了sql注入(字符型注入)之后,我们继续进阶学习。 把dvwa环境安全级别调整为medium,如下图 查看sql injection页面源码,可以发现提交方式变为post。注:low级别时候是get方式。 <form action="#&amp原创 2019-02-19 21:42:14 · 1010 阅读 · 0 评论 -
2019-3-8 dvwa学习(9)--Brute Force暴力破解(利用Burp suite)
Brute Force,意译就是暴力破解。 dvwa中的界面如下 有过前面sql注入的经验,显然这里是可以尝试用sql代码注入绕过密码的。 不过这里要学的是暴力破解。 暴力破解可以利用Burp suite工具。 low 先用最简单的试验 打开Burp后拦截,界面如下,这个前面介绍过了。 然后在action中选择“Send to Intruder”,Burp会把拦截到的信息发送到Intrud...原创 2019-03-08 16:25:37 · 562 阅读 · 0 评论 -
2019-3-6 dvwa学习(7)--存储型XSS攻击和XSS攻击总结
什么是存储型XSS攻击(Stored XSS Attacks)? 存储型XSS攻击是指注入的恶意脚本永久存储在目标服务器上的攻击。例如数据库、消息论坛、访问者日志、注释字段等。当受害者请求存储的信息时,它会从服务器中检索恶意脚本。存储的XSS有时也称为持久性(Persistent)或I型XSS。 low 看源码low.php <?php if( isset( $_POST[ 'btnSig...原创 2019-03-06 11:57:56 · 1140 阅读 · 0 评论 -
2019-3-7 dvwa学习(8)--SQL Injection(blind) SQL盲注--基于布尔和基于时间
什么是SQL盲注? SQL盲注也是sql注入攻击,但是攻击者在注入的页面上看不到注入代码(sql)的实际执行结果。具有漏洞的页面不会显示数据,但是会根据注入恶意代码(逻辑条件)的执行结果显示不同的页面。 这种类型的攻击通常被认为是时间密集型( time-intensive )或者说基于时间的。因为攻击者是依靠向数据库询问一系列正确或错误的问题来窃取数据,所以攻击可能会包含很多不成功的请求,需要不断...原创 2019-03-07 15:48:09 · 1206 阅读 · 0 评论