摘要:
Reflected Cross Site Scripting (XSS) 等级为low时,直接<script>alert(‘xss’)</script> 等级为medium时, 源代码将<script>替换为空,此时可用<scr<script>ipt>alert('xss')</script>来替换 阅读全文
摘要:
File Upload(文件上传) 当等级为low时未做任何防护,可直接上传shell 当等级为medium时源代码为 代码对文件的类型和以及大小进行了限制 抓包分析一个图片文件和一个php文件,将 区别在于Content-type,上传1.php文件,抓包将Content-type字段改成imag 阅读全文
摘要:
SQL Injection(SQL注入) 等级为low时直接抓包放入sqlmap 直接就能跑出来 等级为medium时 SQL Injection (Blind) 阅读全文
摘要:
Cross Site Request Forgery (跨站请求伪造): File Inclusion(文件包含) 本地文件包含: 等级为low时代码为如下 直接../../robots.txt读取robots.txt文件 在linux下可访问/etc/passwd 等级为medium时代码为如下 阅读全文
摘要:
DVWA 阅读全文