这是一个创建于 4039 天前的主题,其中的信息可能已经有所发展或是发生改变。
为了完成下面的模拟攻击,可以使用以下工具:
- Fiddler
- Burp Suite
- Zed Attack Proxy
1.绕过验证(Bypass Validation)
请提交无效数据
提示: 避免在客户端验证输入。
[Form]
Name:
Email Address:
Zip code:
Telephone number:
提交按钮
2.SQL 注入(SQL Injection)
请通过SQL注入登录管理员帐户。
这里有两个可用的账户:
DEMO user
username demo, password demo
Test user
username test, password password
提示: 注入单引号字符。
[Form]
Username:
Password:
登录按钮
3.XSS 例 1
运行下面的JavaScript命令:alert(document.domain);
提示: 注入'<script>'标签。
[Form]
Input box
提交按钮
4.XSS 例 2
运行下面的JavaScript命令: alert(document.domain);
提示: 'value'属性不括在双引号里。
[Form]
Input box
提交按钮
5.XSS 例 3
运行下面的JavaScript命令: alert(document.domain);
提示: JavaScript字符串中使用的输入值。
[Form]
Input box
提交按钮
6.HTTP Header 注入(HTTP Header Injection)
此应用程序发出的cookie。
请通过HTTP header注入攻击发出任何cookie。
提示: 注入一个换行符。
[Form]
Username:
Password:
提交按钮
7.操作系统命令注入(OS Command Injection)
这是主机名查找应用。
请读取 /var/www/data/secret.txt
提示: 注入操作系统命令的分隔符,调用'cat'命令。
[Form]
目标: www.example.com
提交按钮
8.打开跳转(Open Redirector)
当你点击下面的标志,你会被重定向到范例网站。
攻击这个应用程序,请重定向到以外的主机
“www.example.com”。
提示: 一个‘url’参数在正则表达式中被验证:"^http://www.example.com"
[Form]
一张图片。图片的链接: http://www.example.com
9.电子邮件header注入(Mail Header Injection)
请向电子邮件的header中注入“To”。
提示: 注入一个换行符。
[Form]
联系我们
Name:
Email Address:
Message:
提交按钮
- Fiddler
- Burp Suite
- Zed Attack Proxy
1.绕过验证(Bypass Validation)
请提交无效数据
提示: 避免在客户端验证输入。
[Form]
Name:
Email Address:
Zip code:
Telephone number:
提交按钮
2.SQL 注入(SQL Injection)
请通过SQL注入登录管理员帐户。
这里有两个可用的账户:
DEMO user
username demo, password demo
Test user
username test, password password
提示: 注入单引号字符。
[Form]
Username:
Password:
登录按钮
3.XSS 例 1
运行下面的JavaScript命令:alert(document.domain);
提示: 注入'<script>'标签。
[Form]
Input box
提交按钮
4.XSS 例 2
运行下面的JavaScript命令: alert(document.domain);
提示: 'value'属性不括在双引号里。
[Form]
Input box
提交按钮
5.XSS 例 3
运行下面的JavaScript命令: alert(document.domain);
提示: JavaScript字符串中使用的输入值。
[Form]
Input box
提交按钮
6.HTTP Header 注入(HTTP Header Injection)
此应用程序发出的cookie。
请通过HTTP header注入攻击发出任何cookie。
提示: 注入一个换行符。
[Form]
Username:
Password:
提交按钮
7.操作系统命令注入(OS Command Injection)
这是主机名查找应用。
请读取 /var/www/data/secret.txt
提示: 注入操作系统命令的分隔符,调用'cat'命令。
[Form]
目标: www.example.com
提交按钮
8.打开跳转(Open Redirector)
当你点击下面的标志,你会被重定向到范例网站。
攻击这个应用程序,请重定向到以外的主机
“www.example.com”。
提示: 一个‘url’参数在正则表达式中被验证:"^http://www.example.com"
[Form]
一张图片。图片的链接: http://www.example.com
9.电子邮件header注入(Mail Header Injection)
请向电子邮件的header中注入“To”。
提示: 注入一个换行符。
[Form]
联系我们
Name:
Email Address:
Message:
提交按钮
 |
1
family 2013-11-04 08:31:00 +08:00 via iPhone
这些都是初级问题吧
|
 |
2
hacker1031 OP @family 请问第2,6,8问怎么解?
|
Select Language