其他分享
首页 > 其他分享> > pvs测试方法

pvs测试方法

作者:互联网

WebShell

简介:

实时漏洞风险分析,也可以被动识别出web应用风险,如:SQL注入,webshell,xss攻击,命令执行,文件上传,文件包含,目录穿越等。

webshell:WebShell 木马是一种对网络服务器的恶意攻击,木马中的代码执行时可以窃取服务器资料或者获取服务器管理员权限。攻击者通过文件包含、文件上传等手段将webshell木马上传到目标网站目录中,以此攻击网站。

攻击:

webshell_attack.php页面内容:

<html>
<head>
<title>PhpSpy Ver 2005</title>
</head>
<body>
PhpSpy Ver 2005
</body>
</html>

访问该请求:curl “http://[2001::c0a8:7202]/webshell_attack.php?input=%3Ctitle%3EPhpSpy+Ver+2005%3C%2Ftitle%3E2”

黑链

黑链简介:

黑链:客户的正常门户网站被植入了色情、赌博等非法链接,这些链接称为黑链。

黑链攻击

黑链页面:black_chain.html

<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>黑链</title>
</head>
<body>
    <a href="http://www1.qiang116.top/common.js">http://www1.qiang116.top/common.js</a>
    <a href="http://www.testurl.com/">钢珠枪</a>
</body>
</html>

访问该页面:curl “http://[2001::c0a8:7202]/black_chain.html”

弱口令

弱口令简介:

弱密码格式为:

1、密码为空;2、密码包含用户名;3、密码长度小于等于6位;4、字典序;5、不同时包含字母、数字和特殊字符中两者。

弱口令攻击举例:

格式例子
1、密码为空curl “http://192.168.114.2/index.php?username=adimn&passwd=”
2、密码包含用户名curl “http://192.168.114.2/index.php?username=chrisbin5&passwd=chrisbin5”
3、密码长度小于等于6位curl “http://192.168.114.2/index.php?username=adimn&passwd=cww123”
4、字典序curl “http://192.168.114.2/index.php?username=adimn&passwd=abcdefg”
5、不同时包含字母、数字和特殊字符中两者。curl “http://192.168.114.2/index.php?username=adimn&passwd=947572157”

漏洞风险

简介:

pvs漏洞分类:

漏洞名称检测引擎
命令执行漏洞Snort
配置漏洞Snort
目录遍历漏洞Snort
文件上传漏洞Snort
sql注入漏洞Snort
webshell上传漏洞Snort
xss攻击漏洞Snort

攻击:

以SQL注入检测为例:

访问:curl “http://[2001::c0a8:7202]/index.php?method=d&sql=delete%20from%20testuser%20where%20name=‘jerry’”

标签:index,pvs,http,黑链,漏洞,curl,php,测试方法
来源: https://blog.csdn.net/weixin_45589713/article/details/122285920