开启掘金成长之旅!这是我参与「掘金日新计划 · 12 月更文挑战」的第3天,点击查看活动详情
目录
第一部分,搭建apache+mysql服务器,安装Dvwa靶机并调试成功,
第二部分,安装web扫描工具Vega,并用Vega进行目标网站手动爬取
第三部分,寻找现实合法合规可进行漏洞测试的网站,尝试对其进行漏洞挖掘。
一、实验目的
了解HTTP协议,掌握常见Web漏洞攻防手段,掌握主流Web漏洞扫描工具
二、实验所需软件:
工具软件:Phpstudy、dvwa、vegabuild
三 、 实验内容(实验步骤、测试数据等)(以下操作需要截图)
第一部分,搭建apache+mysql服务器,安装Dvwa靶机并调试成功,
调试完毕
编辑
第二部分, 安装web扫描工具Vega,并用Vega进行目标网站手动爬取
2-1由于dvwa需要身份认证,在vega中进行创建对应的账号密码。否则就需要cookie
编辑
2-2设定目标url
编辑
2-3添加身份认证
编辑
然后直接finish就好
2-4等待出结果
编辑
如果需要避免管理人员看到,则需要删除vega标志,如果是自己玩靶机了话,那无所谓。玩其他的了话,要避免被察觉还是需要删除,不然其他步骤还没开始就结束了。
编辑
2-5进行代理模式,监听127.0.0.1:8888
开启服务器代理
编辑
随意在网站上点击
编辑
编辑
第三部分, 寻找现实合法合规可进行漏洞测试的网站,尝试对其进行漏洞挖掘。
3-1按上述步骤继续
编辑
四 、实验体会
实验比较简单,学习到了新工具vega。不太好用,可以用其他的扫描软件。
