一些安全知识,你能答对几个?

为了完成下面的模拟攻击,可以使用以下工具:

Fiddler
Burp Suite
Zed Attack Proxy

1.绕过验证(Bypass Validation)

请提交无效数据

提示: 避免在客户端验证输入。

[Form]
Name:
Email Address:
Zip code:
Telephone number:
提交按钮

2.SQL 注入(SQL Injection)

请通过SQL注入登录管理员帐户。

这里有两个可用的账户:

DEMO user
username demo, password demo
Test user
username test, password password

提示: 注入单引号字符。

[Form]
Username:
Password:
登录按钮

3.XSS 例 1

运行下面的JavaScript命令:alert(document.domain);

提示: 注入'&#39;标签。</p> <pre><code>[Form] Input box 提交按钮 </code></pre> <p>4.XSS 例 2</p> <p>运行下面的JavaScript命令: alert(document.domain);</p> <p>提示: &#39;value&#39;属性不括在双引号里。</p> <pre><code>[Form] Input box 提交按钮 </code></pre> <p>5.XSS 例 3</p> <p>运行下面的JavaScript命令: alert(document.domain);</p> <p>提示: JavaScript字符串中使用的输入值。</p> <pre><code>[Form] Input box 提交按钮 </code></pre> <p>6.HTTP Header 注入(HTTP Header Injection)</p> <p>此应用程序发出的cookie。</p> <p>请通过HTTP header注入攻击发出任何cookie。</p> <p>提示: 注入一个换行符。</p> <pre><code>[Form] Username: Password: 提交按钮 </code></pre> <p>7.操作系统命令注入(OS Command Injection)</p> <p>这是主机名查找应用。</p> <p>请读取 /var/www/data/secret.txt</p> <p>提示: 注入操作系统命令的分隔符,调用&#39;cat&#39;命令。</p> <pre><code>[Form] 目标: www.example.com 提交按钮 </code></pre> <p>8.打开跳转(Open Redirector)</p> <p>当你点击下面的标志,你会被重定向到范例网站。 攻击这个应用程序,请重定向到以外的主机 “www.example.com”。</p> <p>提示: 一个‘url’参数在正则表达式中被验证:&quot;^<a href="http://www.example.com">http://www.example.com</a>&quot;</p> <pre><code>[Form] 一张图片。图片的链接: http://www.example.com </code></pre> <p>9.电子邮件header注入(Mail Header Injection)</p> <p>请向电子邮件的header中注入“To”。</p> <p>提示: 注入一个换行符。</p> <pre><code>[Form] 联系我们 Name: Email Address: Message: 提交按钮 </code></pre>