WEB 安全靶场通关指南
DVWA 靶场
DVWA 靶场的网页应用程序很脆弱,它的主要目标是帮助安全专业人员在实际环境中测试他们的技能和工具,帮助 web 开发人员更好地理解保护 web 应用程序的过程,并帮助教师/学生在教室环境中教授/学习 web 应用程序安全。
Brute Force (爆破)
Command Injection (指令注入)
File Inclusion(文件包含)
File Upload(文件上传)
Insecure CAPTCHA (不安全的验证流程)
SQL Injection (SQL 注入)
SQL Injection-Blind(SQL 盲注)
Weak Session IDs (弱会话)
XSS(DOM)
XSS(Reflected)
XSS(Stored)
Cross Site Request Forgery (CSRF)
CSP Bypass(CSP 绕过)
JavaScript Attacks (前端攻击)
sqli-labs 靶场
sqli-labs 靶场是专门用于练习 SQL 注入的靶场,共有 65 个 Less。
Basic Injections
Less 1 ~ 4
Less 5、6、8
Less 7
Less 9、10
Less 11、12
Less 13 ~ 16
Less 17
Less 18、19
Advanced Injections
Less 20 ~ 22
Less 23
Less 24
Less 25
Less 26
Less 27、28
Less 29 ~ 31
Less 32、33、35、36
Less 34、37
Stacked Injections
Less 38 ~ 41
Less 42 ~ 45
Less 46 ~ 49
Less 50 ~ 53
Challenges
Less 54 ~ 65 要求在限定步数内完成注入,没有新的知识需要学习,请读者根据需求进行练习。
CMS 文件管理系统
CMS 文件管理系统是一个基于 PHP 编写的管理系统,具有新闻查看功能和提交留言功能,对于管理员还有后台管理功能。这个系统没有任何安全机制,具有 SQL 注入漏洞、XSS 漏洞等多种漏洞。
CMS 文件管理系统:SQL 联合查询和报错注入
CMS 文件管理系统:SQL Bool 盲注
CMS 文件管理系统:SQL 时间盲注
CMS 文件管理系统:XSS 漏洞获取密码和 cookie