丽江市住房和城乡建设局网站,wordpress主题4mudi,网站开发vs2015是什么,wordpress悬浮导航栏1.环境准备#xff1a;搭建漏洞测试的基础环境
安装完phpstudy之后#xff0c;开启MySQL和Nginx#xff0c;将dami文件夹复制到网站的根目录下#xff0c;最后访问安装phptudy机器的IP地址 第一次登录删除dami根目录下install.lck文件 如果检测环境不正确可以下载php5.3.2…1.环境准备搭建漏洞测试的基础环境
安装完phpstudy之后开启MySQL和Nginx将dami文件夹复制到网站的根目录下最后访问安装phptudy机器的IP地址 第一次登录删除dami根目录下install.lck文件 如果检测环境不正确可以下载php5.3.29版本 启动服务 最后打开dami后台网站 2.XSS漏洞展示跨站脚本攻击实例
查看存在XSS漏洞的源代码在输入框中输入命令更改后的源代码为 修改后弹出弹窗 3.CSRF漏洞演示跨站请求伪造攻击
通过截取管理员修改密码界面的流量包修改参数并发送最后将构造与原网页相似的网站并发送给管理员如果钓鱼成功则触发脚本通过管理员修改密码 截获修改请求包之后发送到repeater并且关闭截获 右键生成CSRF虚假网站 使用管理员登录的浏览器访问生成的URL密码修改成功 4.模板漏洞模板渲染中的安全隐患
通过模板中相同的结构对网页进行编辑在首页底部添加代码?php phpinfo(); ? 返回首页查看效果 5.任意文件删除漏洞模拟文件删除漏洞攻击
在可以删除文件的界面点击删除使用BP抓获通过修改删除文件的位置来删除像删除的文件 删除成功 6.任意目录添加漏洞展示目录添加漏洞的利用
与删除相似同样为修改想要添加或者修改文件的目录 操作成功 7.框架漏洞框架中常见安全漏洞分析
发现网页存在框架漏洞 8.验证码不刷新展示验证码机制的缺陷
-根据观察发现网页的验证码在本地验证所以存在验证码不刷新的漏洞通过BP抓包并放到轰炸模块中对密码进行爆破 轰炸界面 选择对应的字典用来爆破
