01. Web漏洞靶场的搭建

news2024/11/24 13:32:30

01. Web漏洞靶场的搭建

Web漏洞靶场的搭建(上)

什么是Web安全?

什么是Web

Web是互联网的总称,全称为World Wide Web,缩写WWW,即全球广域网,也称为万维网,它是一种基于超文本和HTTP的、全球性的、动态交互的、跨平台的分布式图形信息系统。

简单说来,Web是一种体系结构,通过它可以访问遍布于因特网主机上的链接文档。

什么是web安全?

web安全简单说来就是网站的安全,那么我们需要学习的是,网站上面可能出现哪些漏洞,如何寻找这些漏洞,如果利用这些漏洞。

漏洞挖掘

漏洞定义:

官方定义:漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在缺陷,从而使攻击者能够在未授权的情况下访问或破坏系统。

通俗:只要可以给厂商带来损失的全都是漏洞

在这里插入图片描述

常规的漏洞(很有必要了解)

在这里插入图片描述

常规漏洞

在这里插入图片描述

漏洞靶场之DVWA
DVWA靶场搭建

在这里插入图片描述

DVWA搭建

PHP环境 Windows Apache Mysql Php

DVWA源代码

六步快速搭建DVWA
  1. 下载并安装PHPstudy http://public.xp.cn/upgrades/PhpStudy2018.zip
  2. 将解压后的DVMA源代码放置在phpstudy安装目录的WWW文件夹
  3. 进入DVWA/config目录,将config.inc.php.dist最后的.dist删去
  4. 打开刚刚重命名的config.inc.php文件,修改db_user和db_password root root
  5. 浏览器访问http://127.0.0.1/DVWA/setup.php,点击最下方的Create Database
  6. 浏览器访问http://127.0.0.1/DVWA/,输入用户名admin,密码password登录dvwa

Web漏洞靶场的搭建(下)

在这里插入图片描述

在这里插入图片描述

Docker安装

Docker

Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的镜像中,然后发布到任何流行的Linux或Windows操作系统的机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口。

安装配置

uname -a #显示内核系统信息

uname -v #显示内核版本

更换apt源

apt源路径为:/etc/apt/source.list

​ sudo vim /etc/apt/source.list

按i进入编辑模式,将以下复制进去然后按esc键输入冒号(:wq)保存退出

deb http://mirrors.aliyun.com/kali kali-rolling main non-free contrib

deb-src http://mirrors.aliyun.com/kali kali-rolling main non-free contrib

更新apt源

sudo apt-get update #更新apt源

安装和验证

sudo apt-get install -y docker docker-compose #安装docker和docker-compose

docker --version #查看版本

docker-compose --version

启停管理

sudo systemctl start/stop/restart docker # 启动、停止、重启

配置加速器

使用 Docker 的时候,经常需要从官方获取镜像,但是由于显而易见的网络原因,拉取镜像的过程非常耗时,严重影响使用 Docker 的体验。

sudo vim /etc/docker/daemon.json

{"registry-mirrors": [
    "https://dockerhub.azk8s.cn",
    "https://reg-mirror.qiniu.com",
    "https://1rqfztnd.mirror.ailiyuncs.com"
	]
}
使加速器生效

sudo systemctl daemon-reload #重新加载配置文件

sudo systemctl restart docker #重启docker

使用docker运行漏洞靶场

漏洞靶场

docker安装dvwa:

  1. docker search dvwa # 搜索DVWA
  2. docker pull citizenstig/dvwa # l拉取安装指定dvwa
  3. docker run --rm --name dvwa -it -p 8888:80 citizenstig/dvwa # docker运行dvwa
  4. netstat -ntulp |grep 8888 # 查看容器指定端口是否被打开
  5. 访问localhost:8888进行dvwa的访问
作业
  1. 搭建自己的DVWA靶场

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/86938.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

前端入门教程:CSS标准盒模型和怪异盒模型区别

理解盒模型:CSS3 中的盒模型有以下两种:标准盒模型、IE盒子模型(怪异盒模型),盒模型是由4个部分组成,由内向外分别是content(下图蓝色部分)、padding、border、margin盒模型有5个属性: width 元素宽height 元素高borde…

计算机网络题库---第六章应用层

主要选取谢希仁第八版,复习资料,学校期末划重点 (一)课本答案 1.互联网的域名结构是怎样的?它与目前的电话网的号码结构有何异同之处? 答: 2.域名系统的主要功能及域名系统中的本地域名服务器、根域名服…

世界杯竞猜项目Dapp-第三章(ERC20)

ERC20 是标准的以太坊 Token 协议,它也是一个合约代码,只要在该合约内部实现了特定的 6 个方法,就会被系统判定为代币合约,具体总结为:6 个必要接口,2 个必要事件,3 个可选接口,详情…

信贷产品年终总结之客群特征画像

临近年末,围绕信贷产品业务的年终总结,是各家金融机构或科技公司的必要工作内容之一。根据实际业务的数据表现进行汇总分析,不仅为回顾过去业务经营的全貌特点,提供了客观的数据分布描述,而且对后期业务开展的策略制定…

H-03卷积神经网络中卷积的作用与原理

目录 1.前言 2.卷积的作用 3.卷积的参数 3.1 卷积核大小(kernel_size) 3.2 填充(padding) 3.2.1 same 3.2.2 valid 3.2.3 full 3.3 卷积核算子(operator) 3.3.1 Robert 算子 3.3.2 Prewitt算子 …

2023就要你换个方式过新年!富而喜悦一年一渡开启新方式!

过去的一年,你过得怎么样?是否有过艰难的逆流时刻,是否拥有过快乐和满足,又是否得到了成长和收获?富而喜悦2023一年一渡财富流新年主题活动就要给你一个礼物多多!美美的“礼物”活动! 为此&…

艾美捷ichorbio CD4体内抗体,无惧竞争对手

CD4(分化簇4)是一种在辅助T细胞、调节性T细胞、单核细胞、巨噬细胞和树突状细胞表面表达的糖蛋白。CD4与主要组织相容性复合体(MHC)的II类分子相互作用,增强T细胞活化的信号。 艾美捷ichorbio CD4体内抗体-低内毒素&am…

基于web得数字媒体资源库系统

摘 要 随着信息技术和网络技术的飞速发展,人类已进入全新信息化时代,传统管理技术已无法高效,便捷地管理信息。为了迎合时代需求,优化管理效率,各种各样的管理系统应运而生,各行各业相继进入信息管理时代&…

VCS2 VCS仿真的基础

1、基础知识 编译流程: -Mupdate :增量编译,作用是将需要修改的某个文件修改后重新编译,其.o文件再与其他文件相链接。 -R :编译后立马执行。 -gui :打开DVE的实时GUI。 -l :把编译过程中产生…

CDH6.3.2防止被攻击,打补丁(未授权漏洞)

参考:CDH6.3.2Hadoop默认配置下存在未授权漏洞,禁止匿名访问 - 民宿 - 博客园 这段时间公司的运维大佬扫描安全漏洞的时候,发现有漏洞会被攻击,原因是没有新增用户校验,允许匿名去访问。这样的话。可以操作HDFS和Yarn上…

【iOS】熟悉Objective-C

熟悉Objective-C Objective—C通过一套全新的语法,在C语言基础上添加了面向对象的特性 频繁使用方括号和极长的方法名,使得代码十分易读。 了解Objective-C的起源 Obejective-C与C,java等面向对象的语言类似,在语法上使用“消息结…

【GRU时序预测】基于门控循环单元GRU实现时间序列预测附matlab代码

✅作者简介:热爱科研的Matlab仿真开发者,修心和技术同步精进,matlab项目合作可私信。 🍎个人主页:Matlab科研工作室 🍊个人信条:格物致知。 更多Matlab仿真内容点击👇 智能优化算法 …

【云原生进阶之容器】第一章Docker核心技术1.3节——命名空间Namespace

1. Linux Namespaces机制简介 Linux Namespace是Linux提供的一种内核级别环境隔离的方法。很早以前的Unix有一个叫chroot的系统调用(通过修改根目录把用户jail到一个特定目录下),chroot提供了一种简单的隔离模式:chroot内部的文件系统无法访问外部的内容。Linux Namespace在…

文件包含漏洞相关协议详解

今天继续给大家介绍渗透测试相关知识,本文主要内容是文件包含漏洞相关协议详解。 免责声明: 本文所介绍的内容仅做学习交流使用,严禁利用文中技术进行非法行为,否则造成一切严重后果自负! 再次强调:严禁对未…

执行 pkg -t win index.js 报错 node.js使用pkg打包成exe可执行文件

文章目录一、问题:当执行命令 pkg -t win index.js 的时候报以下错误:二、解决办法:三、安装pkg流程四、其他的打包方法五、题外话:更换exe的icon图标一、问题:当执行命令 pkg -t win index.js 的时候报以下错误&#…

[附源码]计算机毕业设计点餐系统Springboot程序

项目运行 环境配置: Jdk1.8 Tomcat7.0 Mysql HBuilderX(Webstorm也行) Eclispe(IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持)。 项目技术: Springboot mybatis MavenVue等等组成,B/S模式…

传奇微端架设好后不亮灯是怎么回事微端程序无连接不更新有连接不更新问题解决办法

传奇微端架设好后不亮灯是怎么回事微端程序无连接不更新有连接不更新问题解决办法 这是在架设传奇微端时很多小伙伴都会遇到的问题,今天艾西来教大家怎么解决这个问题 以下图中有打码的望读者理解(平台gz) 网关配置好后,图中几个电…

pikachu靶场-11 SSRF漏洞

SSRF漏洞 概述 SSRF(Server-Side Request Forgery:服务器端请求伪造) 其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制 导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据 数据…

Allegro如何把分离的线段变成封闭连续的图形

Allegro如何把分离的线段变成封闭连续的图形 Allegeo支持把分离的线段变成封闭连续的图形,以下图为例,线段是分离的 具体操作如下 选择shape-compose shape Option选择一个层面,比如画在Board Geometry outline层 Find选择other segs 和Lines 框选图形 鼠标右击选择d…

HTML基础学习笔记合集

HTML学习笔记基础认知基本概念常用标签排版标签标题标签段落标签换行标签(单标签)水平线标签(单标签)文本格式化标签图片标签(单标签)音频标签(双标签)视频标签(双标签&a…