一些安全知识,你能答对多少?

2013-11-03 16:29:32 +08:00
 hacker1031
为了完成下面的模拟攻击,可以使用以下工具:

- Fiddler
- Burp Suite
- Zed Attack Proxy

1.绕过验证(Bypass Validation)

请提交无效数据

提示: 避免在客户端验证输入。

[Form]
Name:
Email Address:
Zip code:
Telephone number:
提交按钮

2.SQL 注入(SQL Injection)

请通过SQL注入登录管理员帐户。

这里有两个可用的账户:

DEMO user
username demo, password demo
Test user
username test, password password

提示: 注入单引号字符。

[Form]
Username:
Password:
登录按钮

3.XSS 例 1

运行下面的JavaScript命令:alert(document.domain);

提示: 注入'<script>'标签。

[Form]
Input box
提交按钮

4.XSS 例 2

运行下面的JavaScript命令: alert(document.domain);

提示: 'value'属性不括在双引号里。

[Form]
Input box
提交按钮

5.XSS 例 3

运行下面的JavaScript命令: alert(document.domain);

提示: JavaScript字符串中使用的输入值。

[Form]
Input box
提交按钮

6.HTTP Header 注入(HTTP Header Injection)

此应用程序发出的cookie。

请通过HTTP header注入攻击发出任何cookie。

提示: 注入一个换行符。

[Form]
Username:
Password:
提交按钮

7.操作系统命令注入(OS Command Injection)

这是主机名查找应用。

请读取 /var/www/data/secret.txt

提示: 注入操作系统命令的分隔符,调用'cat'命令。

[Form]
目标: www.example.com
提交按钮

8.打开跳转(Open Redirector)

当你点击下面的标志,你会被重定向到范例网站。
攻击这个应用程序,请重定向到以外的主机
www.example.com”。

提示: 一个‘url’参数在正则表达式中被验证:"^http://www.example.com"

[Form]
一张图片。图片的链接: http://www.example.com

9.电子邮件header注入(Mail Header Injection)

请向电子邮件的header中注入“To”。

提示: 注入一个换行符。

[Form]
联系我们
Name:
Email Address:
Message:
提交按钮
3121 次点击
所在节点    问与答
2 条回复
family
2013-11-04 08:31:00 +08:00
这些都是初级问题吧
hacker1031
2013-11-21 18:51:53 +08:00
@family 请问第2,6,8问怎么解?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/87915

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX