admin管理员组文章数量:1535248
2024年5月10日发(作者:)
burpsuite实训报告实训过程
一、初步熟悉掌握使用burpsuite
1、burpsuite主界面
proxy 用于监控网络流量
forward:对包放行
2、Drop:丢包
intercept is on :对流量监控
Action:执行操作
intercept is off:取消流量监控
如果不对网络流量放行,网页将不会打开,数据也不会由
burpsuite代理出去。intruder界面主要用于对某个网页通过字典进
行暴力破解
target:用于设置破解的网页及其使用的端口
positions:用于设置破解测试方式
payloads:用于使用的弱口令存储
options:用于设置破解的频率及尝试次数
二、sql注入漏洞
SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着
B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越
来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程
序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使
应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程
序返回的结果,获得某些他想得知的数据,这就是所谓的SQL
Injection,即SQL注入。
SQL注入攻击属于数据库安全攻击手段之一,可以通过数据库安
全防护技术实现有效防护,数据库安全防护技术包括:数据库漏扫、
数据库加密、数据库防火墙、数据脱敏、数据库安全审计系统。
SQL注入攻击会导致的数据库安全风险包括:刷库、拖库、撞库。
三、pikachu实验
1.先点开此界面
2.打开burpsuite,点击HTTP history
设置端口
3.在positions paloads options中分别设置字典 破解方式
破解频率 扫描方式等
4.点击start attack进行测试
测试结果为
用户名:admin
密码:123456
版权声明:本文标题:burpsuite实训报告实训过程 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1715310158a445664.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论