第7章Web应用安全DVWA平台简介52课件.pptxVIP

DVWA平台简介第7章Web应用安全

目标Objectives要求了解DVWA平台的基本概况；了解DVWA平台的基本功能；

DVWA平台简介一、什么是DVWA平台DVWA(DamnVulnerableWebApplication)一个用来进行安全脆弱性鉴定的PHP/MySQLWeb应用平台，旨在为网络安全专业人员测试自己的专业技能和工具提供合法的环境，帮助web开发者更好的理解web应用安全防范的过程。DVWA还可以手动调整靶机源码的安全级别，分别为Low，Medium，High，Impossible，级别越高，安全防护越严格，渗透难度越大。官方网站：http://www.dvwa.co.uk/下载链接：/digininja/DVWA/zip/master

DVWA平台简介二、DVWA平台的主要功能暴力破解（BruteForce）利用密码字典，使用穷举法猜解出用户口令命令行注入（CommandInjection）指通过提交恶意构造的参数破坏命令语句结构，从而达到执行恶意命令的目的跨站请求伪造（CSRF）利用受害者尚未失效的身份认证信息，诱骗其访问包含攻击代码的页面，以受害者的身份向发送请求，完成非法操作。文件包含（FileInclusion）利用url去动态包含文件，如果没有对文件来源进行严格审查，就会导致任意文件读取或者任意命令执行文件上传（FileUpload）由于对上传文件的类型、内容没有进行严格的过滤、检查，使得攻击者可以通过上传木马获取服务器的权限

DVWA平台简介二、DVWA平台的主要功能不安全的验证码（InsecureCAPTCHA）验证码的验证流程出现了逻辑漏洞，使得攻击者可以绕过验证码而访问系统SQL注入（SQLInjection）通过注入恶意的SQL命令，破坏SQL查询语句的结构，从而达到执行恶意SQL语句的目的SQL盲注（SQLInjection（Blind））盲注时攻击者通常是无法从显示页面上获取执行结果，通过逻辑结果来进行SQL注入反射型跨站脚本（XSS（Reflected））指攻击者在页面中注入恶意的脚本代码，当受害者访问该页面时，恶意代码会在其浏览器上执行存储型跨站脚本（XSS（Stored））

DVWA平台简介知识点内容小结：1、DVWA平台的简介；2、DVWA平台的十大功能；

谢谢观看