当前位置: 首页 > news >正文

泉州企业自助建站系统规范 加强网站建设管理

news 2026/4/10 4:43:22
泉州企业自助建站系统,规范 加强网站建设管理,设计一个企业网站多少钱,网站建设网站优化相关资讯文章课程分类#xff1a; web安全应用 实验等级: 中级 任务场景: 【任务场景】 小王接到磐石公司的邀请#xff0c;对该公司旗下的网站进行安全检测#xff0c;经过一番检查发现该论坛的后台登录页面上可能存在万能密码漏洞#xff0c;导致不知道账号密码也能登录后台 web安全应用 实验等级: 中级 任务场景: 【任务场景】 小王接到磐石公司的邀请对该公司旗下的网站进行安全检测经过一番检查发现该论坛的后台登录页面上可能存在万能密码漏洞导致不知道账号密码也能登录后台造成用户的隐私信息的泄露、网页被篡改、网页被挂马、服务器被远程控制服务器被安装后门等风险。为了让公司管理人员更好的理解并修补漏洞小王用DVWA情景再现。 任务分析: 【任务分析】 登录是先通过表单获取到值再对应到数据库里去查询如果有对应的值则登录成功如果没有则登录失败。但是如果Web管理员在设计上没有对一些关键字进行过滤的话就会导致’且’运算或者’或’运算带入到数据库里查询那么当php语言执行为真的时候就会绕过验证程序直接进入后台。 预备知识: 【预备知识】 And逻辑运算结果真-真真、假-真假、真-假假、假-假假 Or逻辑运算结果真-真假、假-真真、真-假真、假-假假 --------------------------------------------------------------------------------------------------------------------------------- 任务实施: E053-web安全应用-Brute force暴力破解初级 任务环境说明 服务器场景p9_kali-2用户名root密码toor 服务器场景操作系统Kali Linux  192.168.32.123 服务器场景p9_ws03-3用户名administrator密码123456 服务器场景操作系统Microsoft Windows2003 Server  192.168.32.190 --------------------------------------------------------------------------------------------------------------------------------- 网络结构 实战复现 打开火狐浏览器在地址栏输入靶机的地址访问网页使用默认用户名admin密码password登录 在DVWA页面点击“DVWA Security” 选择难易程度为“Low” 然后点击“Submit” 提交 在导航栏点击Brute Force进入登陆框页面 查看登录框的源代码 select * from user where username$username and password $password 可以看到Username登录点的参数会传输到$username Password登录点的参数会传输到$password 那么我们可以构造一个简单的Payload语句进行注入在账号里输入admin’ and 11 #密码为空 显示登录成功 登录成功了为什么不需要输入密码就能登录? 把Payload语句放到这段代码分析 $sql select * from user where username|and password$password; 在账号地方输入admin’ and 11 #后SQL语句变成 $sql select * from user where usernameadmin and 11 #| and password$password; 输入admin’使用单引号闭合让admin成一个字符串后面跟一个逻辑运算把admin判断为真再用一个”#”号注释掉后面的代码也就是接收密码的那一段代码就达到万能密码绕过程序验证的效果了。 那么根据运算符再测试几组 --------------------------------------------------------------------------------------------------------------------------------- And逻辑运算符真-假假 admin and 12# And逻辑运算符假-真假 admin and 21# --------------------------------------------------------------------------------------------------------------------------------- Or逻辑运算符真-假真 admin or 12 # Or逻辑运算假-真假 admin or 21 # 实验结束关闭虚拟机。
http://www.w-s-a.com/news/990620/

相关文章:

  • 阿里云的网站建设方案织梦和wordpress哪个安全
  • 聊城网站建设公司电话wordpress怎么重新配置文件
  • 创业如何进行网站建设泰州公司注册
  • 免费网站建设培训学校手机百度高级搜索入口在哪里
  • 建站经验安徽六安发现一例新冠阳性检测者
  • 滨州内做网站系统的公司汕头网络营销公司
  • 苏州制作网站的公司哪家好wordpress google搜索
  • c语言做项目网站wordpress博客被书为什么还
  • 企业建站用什么系统网站建设补充协议模板
  • 常州网站关键字优化淘客网站怎么做排名
  • 全flash网站制作教程网站做进一步优化
  • 建设网站步骤是如何做自媒体和网站签约赚点击
  • 网站建设的闪光点网站 备案 拍照
  • 那些企业需要做网站九洲建设集团网站
  • 中山企业做网站昆明做网站价格
  • wordpress 新网站 代码网站可以做系统还原吗
  • 百度给做网站公司餐饮设计装饰公司
  • 专门卖医疗器械的网站网站建设方案一份
  • 吉林省建设安全监督站网站wordpress 4.7.5下载
  • 网页制作视频的网站建设营销策划公司
  • 玉雕网站建设八点品牌设计公司招聘
  • 服务器可以自己的网站吗flash 网站 源码
  • 湖南做网站 搜搜磐石网络网站注册收入
  • 北京软件网站开发装修设计培训机构
  • 哪个网站能帮助做路书网站建设的技巧
  • 上海网站备案在哪里在国外怎么做网站
  • 做网站得花多钱乡村振兴网站建设
  • 站设计培训课程wordpress自动回复
  • 上海闵行区 网站建设永久免费crm软件下载
  • 天津营销网站建设公司排名台州网站排名公司