Web安全实战演练1-4.PDF

Web 安全实战演练1-4 环境搭建+密码字典破解测试+SQL 注入测试+XSS 测试 作者：@_ U2_ Web 安全实战演练（1）- 学习环境搭建 入侵网站在任何国家都是违法行为，因此学习 Web 安全，不能以任何第三方开展正常业务 的网站为测试目标。 为了解决这个问题，首先需要自行搭建一套测试环境。 如果您不擅长自行搭建服务器，下面推荐一种简单、快速的测试环境 （XAMPP ）。 操作系统：Windows 系列均可（Windows 7, 8 ） 所需软件：XAMPP for Windows ，下载地址：/zh_cn/index.html 软件说明：XAMPP for Windows 内置了Apache 、PHP、Tomcat 、MySQL 等组件，能够满足常 见的Web 安全测试需求。安装目录在c:\xampp （建议不要修改）。 安装后通过XAMPP Control Panel 管理各组件的启动，启动后可以看到组件列表（其中FileZilla 用于FTP 服务器，Mercury 用于邮件服务器，本文暂不涉及）。 以常见的PHP+MySQL 应用（如DVWA）为例，启动上图中的Apache 和MySQL 即可（点击”Start” 按钮）。通过 访问。 如果是JSP+MySQL 应用（如WAVSEP ），启动Tomcat 和MySQL 即可，通过:8080 访问。 启动后，默认MySQL 是空口令，可以通过 C:\xampp\mysql\bin\ mysqladmin -u root password 123456 命令将口令修改为123456 （此口令为弱密码，不推荐采用，仅为示例，请修改为自己可以 记住的复杂密码）。 安装安全演练测试环境：DVWA 从/RandomStorm/DVWA 下载zip 格式的压缩包，解压到 C:\xampp\htdocs\dvwa ， 修改配置文件 C:\xampp\htdocs\dvwa\config\config.inc.php: $_DVWA[ db_server ] = localhost; $_DVWA[ db_database ] = dvwa; $_DVWA[ db_user ] = root; $_DVWA[ db_password ] = ‘123456’; $_DVWA[default_security_level] = low; 打开 /dvwa/setup.php ， 点击”Create/Reset Database” ，即可安装完成。 这时进入首页，自动转入 /DVWA/login.php 这时可以开始研究怎么进入这个系统了。 Web 安全实战演练（2 ）- DVWA 登录爆破 第一关，考察的是怎么登录进入？ 一般来说，有这样几种方式： 第一种，通过网络有哪些信誉好的足球投注网站，获知其默认用户名和口令，直接登入； 第二种，可尝试SQL 注入（如尝试用户名admin’;-- 或修改input 为textarea 然后多行注入， 密码随便输入）； 这里采用第三种，就是挂密码字典进行爆破。 俗话说，预先善其事，必先利其器，需要找到一款好用的工具。 这里我们采用WebCruiser Web Vulnerability Scanner 3 （/ ）: 首先，在WebCruiser 界面随便输入用户名和密码，提交。 切换到重放（Resend）界面： 可以看到刚才提交的请求内容，注意URL 的右边有个“Bruter”按钮，点击它，会切换到Bruter 界面。 可以看到，WebCruiser 已经自动识别出了用户名和密码字段。 字典文件位于WebCruiser 的同级目录下，可以打开查看并进行自定义修改。 其中username.txt 和password.txt 一起使用，combo.txt 单独使用。 点击“Go”启动猜解，在下方的结果窗口可以看到，已猜出密码。 使用该密码登录。 Web 安全实战演练（3 ）- SQL 注入 DVWA 菜单栏点击 “SQL Injection ”切换到SQL 注入测试。 先随便输入一个1，测试： 再输入1’ 尝试： 因为单引号不匹配，导致数据库抛出异常。 至此，初步判断这里可能存在SQL 注入漏洞。