为什么要gongji网站,常见的网站loudong有哪些?
在互联网中,WEB(网站)服务数量庞大,且易存在安全漏.洞,是渗.透测试前期gongji的不二之选。
OWASP TOP 10:这是每年的一份关于web应用的十大威胁安全报告,会在经过安全专家的测验之后确定十大类对当前web应用威胁最大和被应用最广的loudong,同时也会对其进行详细的分析威胁所在。
SQL注入:泄露破坏数据库,数据库中可能有账号密码等敏感信息
命令执行:获取目标机器命令权限,执行非法命令,破坏或控制受害机
文件上传:上传后门病.毒mua到网站中,破坏网站甚至系统
DVWA是OWASP官方编写的PHP网站,包含了各种网站常见漏.洞,可以学习攻.击及修复方式
快速搭建DVWA:
1.下载并安装PHPstudy
2.讲解压后的DVWA原代码放置phpstudy安装目录的WWW文件夹
3.进入DVWA/config目录,将config.inc.php.dist最后的.dist删去
4.打开刚刚重命名的config.inc.php文件,修改db_user和db_password root root
5.浏览器访问http://127.0.0.1/DVWA/setup.php,点击最下方的Create Database
6.浏览器访问http://127.0.0.1/DVWA/,输入用户名admin,密码password登录dvwa
命令执行:
一般出现这种漏.洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口,比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上,一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后后台会对该IP地址进行一次ping测试并返回测试结果。而如果设计者在完成该功能时,没有做严格的安全控制,则可能会导致攻.击者通过该接口提交恶意命令,让后台进行执行,从而获得后台服务器权限。
cmd1|cmd2:无论cmd1上是否执行成功,cmd2将被执行
cmd1:cmd2:无论cmd1是否执行成功,cmd2将被执行
cmd1&cmd2:无论cmd1是否执行成功,cmd2将被执行
cmd1||cmd2:仅在cmd1执行失败时才执行cmd2
cmd1&&cmd2:仅在cmd1执行成功后时才执行
常见的cmd命令:
whoami 查看当前用户名
ipconfig 查看网卡信息
shutdown -s -t 0 关机
net user [username][password]/add 增加一个用户名为username密码为password的新用户
type [file_name] 查看filename文件内容
