sqli-labs 靶场使用 SQLMap 注入(1-25 关)
注意点: sqlmap 需要 python 的环境,并配置环境变量 在实际检测过程中,sqlmap 会不停的询问,需要手工输入Y/N来进行下一步操作,可以使用参数--batch命令来自动答复和判断 用 sqlmap 工具注入完毕后,C 盘...
DVWA 靶场
前言 https://github.com/digininja/DVWA 模块大榄 Brute Force(暴力破解) Command Injection(命令行注入) CSRF(跨站请求伪造) File Inclusion(文件包含) File ...
xss-labs
do0dl3/xss-labs: xss 跨站漏洞平台 (github.com) level 1 观察地址栏得知是GET请求,参数是name,值为test 修改参数值定位位置,发现是在 h2标签内,判断为反射型xss 于是直接在把name参数赋值...
XSS Challenges
XSS 挑战 (由 yamagata21) - 阶段 #1 (int21h.jp) 题目要求注入 JavaScript 命令: alert(document.domain); Stage #1 输入321来定位代码的位置,发现是处于<b>...
Google XSS Game
XSS game (xss-game.appspot.com) 这是一款谷歌的 XSS 游戏,总共有 6 个级别 Level 1 无需转义,直接编辑 URL 栏或者搜索框中都可以执行 1<script>alert(1)</scr...
Portswigger 靶场之“业务逻辑漏洞
All labs | Web Security Academy (portswigger.net) Business logic vulnerabilities 1. Excessive trust in client-side controls...
portswigger 靶场之点击劫持(Clickjacking)
All labs | Web Security Academy — 所有实验室 |网络安全学院 (portswigger.net) 1. Basic clickjacking with CSRF token protection 具有 CSRF...
Portswigger 靶场之“文件上传”
File upload vulnerabilities All labs | Web Security Academy (portswigger.net) 1. Remote code execution via web shell upload...
Portswigger 靶场之“访问控制漏洞”
Access control vulnerabilities All labs | Web Security Academy (portswigger.net) 1. Unprotected admin functionality 不受保护的管...
PortSwigger 之“身份认证”
https://portswigger.net/web-security/all-labs#authentication Authentication 1. 通过不同的响应进行用户名枚举 在登录页面填入账号密码通过 burp 抓包,发送到 Int...