了解csrf跨站偽造請求實驗
從上圖可以看出,要完成一次csrf攻擊,受害者必須依次完成兩個步驟:
登入受信任**a,並在本地生成cookie;
在不登出a的情況下,訪問危險**b。
學習csrf
實驗環境描述
1、學生機與實驗室網路直連;
2、vpc1與實驗室網路直連;
3、學生機與vpc1物理鏈路連通;
pc機:windows7旗艦版
1、開啟桌面的xampp
2、開啟攻擊機桌面上的瀏覽器,在位址列輸入進入dvwa登入介面,賬號為admin、密碼為password
3、點選左邊導航欄中的dvwa security設定安全等級,此處設定為low即可。
4、點選左邊導航欄中的csrf模組,進入如下介面,可以看出這是乙個修改密碼的頁面:
5、檢視php原始碼:點選右下角的view source,可以看到頁面的php原始碼。從原始碼中可以看出,頁面直接用get方法獲取使用者的輸入資訊
7、進行攻擊測試:不要關閉原來的頁面,在開啟新的頁面,輸入url位址此處的url只是將上面url裡面的newpass改成了newpass2)可以看到頁面顯示密碼更改
8、此時驗證admin使用者的密碼是否是newpass2:點選左邊最後的logout,重新登入dvwa,輸入使用者名稱admin,密碼newpass2,登入成功。由此可見密碼已被修改。
9、實驗完成
網路安全常見練習靶場
注 靶場在精不在多,靶場在練不在收藏!二 靶場學習記錄 三 工具學習記錄 四 enjoy webgoat是由著名的owasp負責維護的乙個漏洞百出的j2ee web應用程式,這些漏洞並非程式中的bug,而是故意設計用來講授web應用程式安全課程的。這個應用程式提供了乙個逼真的教學環境,為使用者完成課...
命令執行漏洞靶場練習二
了解命令執行漏洞的危害 由於開發人員編寫原始碼,沒有針對 中可執行的特殊函式入口做過濾,導致客戶端可以提交惡意構造語句提交,並交由伺服器端執行。命令注入攻擊中web伺服器沒有過濾類似system eval exec 等函式是該漏洞攻擊成功的最主要原因。沒有針對 中可執行的特殊函式入口做過濾,導致客戶...
靶場練習 Sqli labs通關記錄(1 4關)
本地 win 10 靶場 sqli labs 共65關,每日一關 簡介 一天一關!簡單的注入 首先嘗試 會出現報錯 然後嘗試使用 and 1 1 會發現顯示正常,這是因為該查詢語句不再看前面的id 2 的報錯引數,轉而發現and 1 1 是一條正常的語句 and 1 2後就會出現異常,且不會顯示任何...