欢迎光临KPlayer家园,热爱生活的靠谱玩家。网站刚刚建立,还在完善中,敬请期待,欢迎常回来看看O(∩_∩)O

【笔记】网易微专业-Web安全工程师-04.WEB安全实战-1.DVWA部署

Web KPlayer 8个月前 (02-03) 45次浏览 0个评论

课程概述:

纸上得来终觉浅,绝知此事要躬行。通过本课的学习和实战演练,让同学们深入理解并掌握常见Web安全漏洞的挖掘、利用技能,以及知晓修复方法。

课程大纲:

第一节.DVWA部署 

第二节.暴力破解

第三节.命令注入

第四节.CSRF

第五节.文件包含

第六节.文件上传

第七节.SQL回显注入

第八节.SQL盲注

第九节.XSS

笔记心得:

前面三个课程,主要介绍WEB基础知识,安全基础,常用安全工具等内容,前两课理论多些,第三课虽然介绍些工具,但没有整合起来使用。要想深刻理解WEB安全漏洞,就必须在实战中学习和积累。

在一切的开始,我们需要搭建好一个WEB渗透测试环境。

1. 安装PHP调试环境

phpStudy程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境。

http://www.phpstudy.net/

phpStudy安装还是很简单的,不再赘述,默认站点主目录在“安装路径/WWW”下。

另外,也可以下载使用XAMPP(Apache+MySQL+PHP+PERL),也是一个功能强大的建站集成软件包,安装也很简单,默认站点主目录在“安装路径\htdocs”下。

https://www.apachefriends.org/zh_cn/index.html

2. 部署DVWA

http://www.dvwa.co.uk/

DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。

DVWA共有十个模块,分别是:

1.Brute Force(暴力(破解))

2.Command Injection(命令行注入)

3.CSRF(跨站请求伪造)

4.File Inclusion(文件包含)

5.File Upload(文件上传)

6.Insecure CAPTCHA (不安全的验证码)

7.SQL Injection(SQL注入)

8.SQL Injection(Blind)(SQL盲注)

9.XSS(Reflected)(反射型跨站脚本)

10.XSS(Stored)(存储型跨站脚本)

分为四种安全级别:Low,Medium,High,Impossible。

测试者可以通过比较四种级别的代码,逐步掌握每种渗透方式的原理和防御。

a. 官网下载DVWA部署包,解压后放置于phpStudy安装路径的WWW目录下,文件夹可重命名为dvwa。

b. 进入config,修改config.inc.php里的数据库配置。

c. 打开浏览器输入http://127.0.0.1/dvwa/setup.php,点击右下角创建测试用数据库,如果报错,确认config.inc.php里的数据库配置正确。

c. 打开浏览器输入http://127.0.0.1/dvwa/login.php,使用admin/password即可访问。

3. 其它工具

下载浏览器Firefox,安装第三章中提到的插件和工具。


KPlayer , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:【笔记】网易微专业-Web安全工程师-04.WEB安全实战-1.DVWA部署
喜欢 (0)
[欢迎使用微信赞赏]
分享 (0)
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址