在本节中, 我们将讨论攻击网站。对于攻击网站, 我们有两种方法:
- 到目前为止, 我们可以使用攻击网站的方法。因为我们知道网站安装在计算机上, 所以我们可以像其他任何计算机一样尝试攻击和黑客入侵该网站。但是, 我们知道网站已安装在一台计算机上, 我们可以像对待其他任何计算机一样尝试攻击和入侵该网站。我们还可以使用服务器端攻击来查看安装了哪个操作系统, Web服务器或其他应用程序。如果发现任何漏洞, 则可以使用其中的任何一个来访问计算机。
- 攻击的另一种方法是客户端攻击。因为网站是由人管理和维护的。这意味着, 如果我们设法黑客入侵该站点的任何管理员, 我们将可能能够获取其用户名和密码, 然后从那里登录其管理面板或安全套接字外壳(SSH)。然后, 我们将能够访问它们用来管理网站的任何服务器。
所有的设备和应用程序都是相互连接的, 我们可以利用其中之一来发挥自己的优势, 然后进入另一台计算机或另一处地方。在本节中, 我们将重点研究测试Web应用程序本身的安全性, 而不是只关注客户端和服务器端的攻击。
我们将使用Metasploitable机器作为目标机器, 如果运行ifconfig命令, 我们将看到其IP为10.0.2.4, 如以下屏幕截图所示:
文章图片
如果我们查看/ var / www文件夹中的内容, 则可以看到存储的所有网站文件, 如以下屏幕截图所示:
文章图片
在上面的屏幕截图中, 我们可以看到我们有phpinfo.php页面, 并且有dvwa, mutillidae和phpMyAdmin。现在, 如果我们转到同一网络上的任何计算机, 并尝试打开浏览器并转到10.0.2.4, 我们将看到我们为Metasploitable创建了一个网站, 如给定的屏幕快照所示。网站只是安装在网络浏览器上的应用程序, 我们可以访问任何Metasploitable网站并使用它们来测试其安全性:
文章图片
现在我们来看看DVWA页面。它要求以Username(用户名)作为admin和Password(密码)作为密码才能登录。输入这些凭据后, 我们就可以登录, 如以下屏幕快照所示:
文章图片
登录后, 可以使用“ DVWA安全性”选项卡修改安全性设置, 如以下屏幕截图所示:
文章图片
在“ DVWA安全性”选项卡下, 我们将“脚本安全性”设置为“低”, 然后单击“提交”:
文章图片
我们将在接下来的部分中将其设置为较低。因为这只是入门课程, 所以我们仅讨论在DVWA和Mutilliidae Web应用程序中发现Web应用程序漏洞的基本方法。
如果以访问DVWA Web应用程序的相同方式访问Mutillidae Web应用程序, 则应确保将“安全级别”设置为0, 如以下屏幕截图所示:
文章图片
【攻击网站】我们可以通过单击页面上的“切换安全性”选项来切换安全级别:
文章图片