2024年4月11日发(作者:)
以下是dvwa实验实训手册:
一、实验环境搭建
1. 安装phpstudy+mysql,配置完成后可以直接访问IP:80。
2. 打开文件,修改以下内容:
$_DVWA[ 'db_server' ] = '127.0.0.1';
$_DVWA[ 'db_database' ] = 'dvw';
二、实验内容
1. Brute Force(爆破)
a. 在登录界面,服务器只验证了参数Login是否被设置(isset函数在
php中用来检测变量是否设置,该函数返回的是布尔类型的值,即
true/false),没有任何的防爆破机制,且对参数username、password
没有做任何过滤,存在明显的sql注入漏洞。
b. 输入用户名和密码后,login抓包,send to Intruder。
c. 选择password的值为payload positions;payload Options导入自己
的爆破字典,进行爆破。
d. 分析响应的长度,明显密码就是password。
2. SQL注入
a. 打开DVWA的初始化界面,账号密码为admin admin。
b. 在环境界面选择SQL Injection。
c. 攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从
而达到执行恶意SQL语句的目的。
三、实验总结
通过本次实验,我们了解了dvwa实验的基本操作和安全防护措施,
提高了对网络安全的认识和防范能力。同时,也发现了自己在网络安
全方面的不足之处,需要进一步加强学习和实践。
发布者:admin,转转请注明出处:http://www.yc00.com/news/1712815791a2127582.html
评论列表(0条)