Web应用程序渗透测试.docVIP

Web应用程序渗透测试 一、实验目的 1. 2. 学习使用Kali Linux进行Web应用程序渗透测试。 二、实验内容 2. 根据老师的课堂讲授，按照课件相关内容在OWASP BWA靶机上实践XSS和SQL注入两种攻击。 3. 配合使用Tamper Data和sqlmap进行sql注入攻击。 4. 利用文件上传漏洞植入Webshell。 三、主要实验结果 2. 编辑新建的Profile，也就是配置各种插件。 对audit类插件勾选sqli和xss两个插件，如下图： 对crawl类插件只勾选web_spider，如下图 对web_spider的配置在窗口右侧，勾选only_forward并保存，如下图 对output类插件，只勾选输出html对输出文件的配置在窗口右侧，如下图输入文件名称并保存。 4. 如下图在Target一栏输入扫描的网址，单击右侧按钮start启动扫描。 扫描过程中 扫描结果 在OWASP BWA靶机上实践XSS和SQL注入两种攻击 1. 在Kali Linux攻击主机上，按照课件第29页，实践“通过SQL注入攻击绕过身份认证机制”。 2. XSS和SQL注入攻击 （1）在攻击机上访问/dvwa，按照 1. 的攻击方法，登录进入DVWA训练系统。 （2）首先按照图示将DVWA应用的安全等级设置为Lo