摘要：引言 写这篇文章记录一下docker的一些基本概念和使用方法。 什么是Docker？ Docker是基于Go语言实现的云开源项目。 Docker的主要目标是“Build，Ship and Run Any App,Anywhere”，也就是通过对应用组件的封装、分发、部署、运行等生命周期的管理，使用户 阅读全文

摘要：引言 结合DVWA中的CSRF模块源码对CSRF漏洞进行一下总结分析。 CSRF，全称Cross-site request forgery，翻译过来就是跨站请求伪造，是指利用受害者尚未失效的身份认证信息（cookie、会话等），诱骗其点击恶意链接或者访问包含攻击代码的页面，在受害人不知情的情况下以受 阅读全文

摘要：结合DVWA提供的命令注入模块，对命令注入漏洞进行学习总结。命令注入（Command Injection）是指通过提交恶意构造的参数破坏命令语句结构，从而达到执行恶意命令的目的。在一些web应用中，某些功能可能会调用一些命令执行函数，比如php中的system、exec、shell_exec等。如果对用户输入的淑数据过滤不充分的话，很容易造成命令执行漏洞。 阅读全文

摘要：结合DVWA（Damn Vulberable Web Application）提供的各种漏洞环境，对各类漏洞进行一下攻击，并且记录一下怎么防范，其实在DVWA各个漏洞安全级别的不断提升过程中，已经告诉我们一些防范各类漏洞的防范技巧，只要我们从源码中分析，就可以得到我们想要的答案。模块其中主要包括：Brute Force（暴力破解）、Command Injection（命令注入）、CSRF（Cross-site request forgery）、File Inclusion（文件包含）、File Upload（文件上传）、Insecure CAPTCHA（不安全的验证码）、SQL Injection（SQL注入）、SQL Injection（Blind）（SQL盲注）、XSS（Reflected）（反射型跨站脚本）、XSS（Stored）（存储型跨站脚本）。 阅读全文