• 【笔记】网易微专业-Web安全工程师-04.WEB安全实战-1.DVWA部署


    课程概述:

    纸上得来终觉浅,绝知此事要躬行。通过本课的学习和实战演练,让同学们深入理解并掌握常见Web安全漏洞的挖掘、利用技能,以及知晓修复方法。

    课程大纲:

    第一节.DVWA部署 

    第二节.暴力破解

    第三节.命令注入

    第四节.CSRF

    第五节.文件包含

    第六节.文件上传

    第七节.SQL回显注入

    第八节.SQL盲注

    第九节.XSS

    笔记心得:

    前面三个课程,主要介绍WEB基础知识,安全基础,常用安全工具等内容,前两课理论多些,第三课虽然介绍些工具,但没有整合起来使用。要想深刻理解WEB安全漏洞,就必须在实战中学习和积累。

    在一切的开始,我们需要搭建好一个WEB渗透测试环境。

    1. 安装PHP调试环境

    phpStudy程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境。

    http://www.phpstudy.net/

    phpStudy安装还是很简单的,不再赘述,默认站点主目录在“安装路径/WWW”下。

    另外,也可以下载使用XAMPP(Apache+MySQL+PHP+PERL),也是一个功能强大的建站集成软件包,安装也很简单,默认站点主目录在“安装路径htdocs”下。

    https://www.apachefriends.org/zh_cn/index.html

    2. 部署DVWA

    http://www.dvwa.co.uk/

    DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。

    DVWA共有十个模块,分别是:

    1. Brute Force(暴力(破解))
    2. Command Injection(命令行注入)
    3. CSRF(跨站请求伪造)
    4. File Inclusion(文件包含)
    5. File Upload(文件上传)
    6. Insecure CAPTCHA (不安全的验证码)
    7. SQL Injection(SQL注入)
    8. SQL Injection(Blind)(SQL盲注)
    9. XSS(Reflected)(反射型跨站脚本)
    10. XSS(Stored)(存储型跨站脚本)

    分为四种安全级别:Low,Medium,High,Impossible。

    测试者可以通过比较四种级别的代码,逐步掌握每种渗透方式的原理和防御。

    1. 官网下载DVWA部署包,解压后放置于phpStudy安装路径的WWW目录下,文件夹可重命名为dvwa。
    2. 进入config,修改config.inc.php里的数据库配置。
    3. 打开浏览器输入http://127.0.0.1/dvwa/setup.php,点击右下角创建测试用数据库,如果报错,确认config.inc.php里的数据库配置正确。
    4. 打开浏览器输入http://127.0.0.1/dvwa/login.php,使用admin/password即可访问。

    3. 其它工具

    下载浏览器Firefox,安装第三章中提到的插件和工具。

  • 相关阅读:
    eclipse/intellij idea 查看java源码和注释
    理解线程池,看这篇足够了-转
    乐观锁的幂等性方案
    springboot2.0以后的junit
    详解 Java 中的三种代理模式
    MYSQL慢查询配置
    MySQL 数据库性能优化之SQL优化【转】
    SQL中EXPLAIN命令详解---(转)
    spring的面试
    sql joins 7
  • 原文地址:https://www.cnblogs.com/kplayer/p/8467541.html
Copyright © 2020-2023  润新知