课前准备
- OWASP ZAP项目 https://github.com/zaproxy/zaproxy/wiki/Downloads
- ZAP下载地址 https://github.com/zaproxy/zaproxy/wiki/Downloads
- burpsuite
- 在线漏洞模拟环境 http://47.95.238.18:9080 用户名admin 密码password
- OWASP_Testing_Guide_v4 https://www.owasp.org/index.php/OWASP_Testing_Guide_v4_Table_of_Contents
- https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
- https://www.owasp.org/images/7/72/OWASP_Top_10-2017_(en).pdf.pdf
- Redirecting…
命令注入
127.0.0.1 && dir
127.0.0.1 ; dir
127.0.0.1 | dir
SQL注入
1' union select 1, 2; -- '
1' or 1=1; -- '
XSS
<script>alert(777);</script>
CSRF
浏览器会自动通过get请求获取图片,而图片就是一个正常的get请求
课间作业
- 演练上面介绍的4个主要漏洞
下午
- 利用ZAP BurpSuite工具自动化扫描网站漏洞
ZAP
注意:不要扫描未授权的第三方网站,存在法律风险,如果被抓会有坐牢风险
获取目标信息
- 爬虫
- 手工探索
- 导入接口地址
扫描
- 扫描设置
- 用什么策略扫描
课间作业
- 使用手工探索引导ZAP发现更多功能
- 主动扫描所有的漏洞
把漏洞数量的截图回复到帖子后
中场休息
3:50回来
BurpSuite
静态破解
动态破解
扫描工具
- android drozer https://github.com/mwrlabs/drozer
参考书籍
