V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
hacker1031
V2EX  ›  问与答

一些安全知识,你能答对多少?

  •  
  •   hacker1031 · 2013-11-03 16:29:32 +08:00 · 3108 次点击
    这是一个创建于 4045 天前的主题,其中的信息可能已经有所发展或是发生改变。
    为了完成下面的模拟攻击,可以使用以下工具:

    - Fiddler
    - Burp Suite
    - Zed Attack Proxy

    1.绕过验证(Bypass Validation)

    请提交无效数据

    提示: 避免在客户端验证输入。

    [Form]
    Name:
    Email Address:
    Zip code:
    Telephone number:
    提交按钮

    2.SQL 注入(SQL Injection)

    请通过SQL注入登录管理员帐户。

    这里有两个可用的账户:

    DEMO user
    username demo, password demo
    Test user
    username test, password password

    提示: 注入单引号字符。

    [Form]
    Username:
    Password:
    登录按钮

    3.XSS 例 1

    运行下面的JavaScript命令:alert(document.domain);

    提示: 注入'<script>'标签。

    [Form]
    Input box
    提交按钮

    4.XSS 例 2

    运行下面的JavaScript命令: alert(document.domain);

    提示: 'value'属性不括在双引号里。

    [Form]
    Input box
    提交按钮

    5.XSS 例 3

    运行下面的JavaScript命令: alert(document.domain);

    提示: JavaScript字符串中使用的输入值。

    [Form]
    Input box
    提交按钮

    6.HTTP Header 注入(HTTP Header Injection)

    此应用程序发出的cookie。

    请通过HTTP header注入攻击发出任何cookie。

    提示: 注入一个换行符。

    [Form]
    Username:
    Password:
    提交按钮

    7.操作系统命令注入(OS Command Injection)

    这是主机名查找应用。

    请读取 /var/www/data/secret.txt

    提示: 注入操作系统命令的分隔符,调用'cat'命令。

    [Form]
    目标: www.example.com
    提交按钮

    8.打开跳转(Open Redirector)

    当你点击下面的标志,你会被重定向到范例网站。
    攻击这个应用程序,请重定向到以外的主机
    “www.example.com”。

    提示: 一个‘url’参数在正则表达式中被验证:"^http://www.example.com"

    [Form]
    一张图片。图片的链接: http://www.example.com

    9.电子邮件header注入(Mail Header Injection)

    请向电子邮件的header中注入“To”。

    提示: 注入一个换行符。

    [Form]
    联系我们
    Name:
    Email Address:
    Message:
    提交按钮
    2 条回复    1970-01-01 08:00:00 +08:00
    family
        1
    family  
       2013-11-04 08:31:00 +08:00 via iPhone
    这些都是初级问题吧
    hacker1031
        2
    hacker1031  
    OP
       2013-11-21 18:51:53 +08:00
    @family 请问第2,6,8问怎么解?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1849 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 16:23 · PVG 00:23 · LAX 08:23 · JFK 11:23
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.