为了完成下面的模拟攻击,可以使用以下工具:
- Fiddler
- Burp Suite
- Zed Attack Proxy
1.绕过验证(Bypass Validation)
请提交无效数据
提示: 避免在客户端验证输入。
[Form]
Name:
Email Address:
Zip code:
Telephone number:
提交按钮
2.SQL 注入(SQL Injection)
请通过SQL注入登录管理员帐户。
这里有两个可用的账户:
DEMO user
username demo, password demo
Test user
username test, password password
提示: 注入单引号字符。
[Form]
Username:
Password:
登录按钮
3.XSS 例 1
运行下面的JavaScript命令:alert(document.domain);
提示: 注入'<script>'标签。
[Form]
Input box
提交按钮
4.XSS 例 2
运行下面的JavaScript命令: alert(document.domain);
提示: 'value'属性不括在双引号里。
[Form]
Input box
提交按钮
5.XSS 例 3
运行下面的JavaScript命令: alert(document.domain);
提示: JavaScript字符串中使用的输入值。
[Form]
Input box
提交按钮
6.HTTP Header 注入(HTTP Header Injection)
此应用程序发出的cookie。
请通过HTTP header注入攻击发出任何cookie。
提示: 注入一个换行符。
[Form]
Username:
Password:
提交按钮
7.操作系统命令注入(OS Command Injection)
这是主机名查找应用。
请读取 /var/www/data/secret.txt
提示: 注入操作系统命令的分隔符,调用'cat'命令。
[Form]
目标:
www.example.com提交按钮
8.打开跳转(Open Redirector)
当你点击下面的标志,你会被重定向到范例网站。
攻击这个应用程序,请重定向到以外的主机
“
www.example.com”。
提示: 一个‘url’参数在正则表达式中被验证:"^
http://www.example.com"
[Form]
一张图片。图片的链接:
http://www.example.com9.电子邮件header注入(Mail Header Injection)
请向电子邮件的header中注入“To”。
提示: 注入一个换行符。
[Form]
联系我们
Name:
Email Address:
Message:
提交按钮
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
https://www.v2ex.com/t/87915
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.