首页 > TAG信息列表 > bWAPP
python使用requests.session()模拟登录bwapp
目录 http/https是无状态协议 session会话对象 session对象模拟登陆 前期回顾,关于python基础知识以及爬虫基础我们可以看 ——> python学习手册,网络安全的小伙伴千万不要错过。 如下,当我们输入用户名密码进行登录的时候,浏览器向服务器发送了一个post请求,并携带了用户名、密码bWAPP
bWAPP HTML Injection - Reflected (GET)lowmediumhigh HTML Injection - Reflected (POST)HTML Injection - Reflected (URL)lowmenium&high HTML Injection - Stored (Blog)lowmenium&&high iFrame Injectionlowmeniumhigh PHP Code Injectionlow SQL InjectionbWAPP SQL Injection(GET/Search) LOW
第一次小小的心得 第一步: 正常输入后面添加 ' 单引号 页面变化,怀疑有SQL注入点 输入' or 1=1 -- 验证猜想 猜想正确,存在注入点 第二步: 联合查询 猜解字段 发现有7个字段 输入函数database() version() 查询所在数据库,以及数据库版本 第三步: 利用Mysql联合查询得CentOS搭建BWAPP靶场并安装docker
为了不触碰国家安全网络红线作为技术人员我们尽可能的要在自己本机在上面创建自己的靶场; 在centos上面搭建靶场看似非常简单短短几行代码,需要注意以下几个点:(1.在docker上搭建 2.端口号要正确) 安装docker 1.卸载旧版本 较旧的 Docker 版本称为 docker 或 docker-engine 。如果渗透测试之SSRF服务器端请求伪造漏洞
SSRF服务器端请求伪造漏洞 原理: SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF是要目标网站的内部系统。(因为他是从内部系统访问的,所有可以通过它攻击外网无法访问的内部系统,也就是把目标网站bWAPP-XSS
XSS注入 基础知识 xss 演练 反射型 GET/POST型 low <script>alert('XSS')</script> //<script>alert(007)</script> //<script>alert(document.cookie)</script> mid // 字符 ' " \ 为转义为 \' \" \\ function xss_