为了完成下面的模拟攻击,可以使用以下工具:
Fiddler
Burp Suite
Zed Attack Proxy
1.绕过验证(Bypass Validation)
请提交无效数据
提示: 避免在客户端验证输入。
[Form]
Name:
Email Address:
Zip code:
Telephone number:
提交按钮
2.SQL 注入(SQL Injection)
请通过SQL注入登录管理员帐户。
这里有两个可用的账户:
DEMO user
username demo, password demo
Test user
username test, password password
提示: 注入单引号字符。
[Form]
Username:
Password:
登录按钮
3.XSS 例 1
运行下面的JavaScript命令:alert(document.domain);
提示: 注入''标签。</p> <pre><code>[Form] Input box 提交按钮 </code></pre> <p>4.XSS 例 2</p> <p>运行下面的JavaScript命令: alert(document.domain);</p> <p>提示: 'value'属性不括在双引号里。</p> <pre><code>[Form] Input box 提交按钮 </code></pre> <p>5.XSS 例 3</p> <p>运行下面的JavaScript命令: alert(document.domain);</p> <p>提示: JavaScript字符串中使用的输入值。</p> <pre><code>[Form] Input box 提交按钮 </code></pre> <p>6.HTTP Header 注入(HTTP Header Injection)</p> <p>此应用程序发出的cookie。</p> <p>请通过HTTP header注入攻击发出任何cookie。</p> <p>提示: 注入一个换行符。</p> <pre><code>[Form] Username: Password: 提交按钮 </code></pre> <p>7.操作系统命令注入(OS Command Injection)</p> <p>这是主机名查找应用。</p> <p>请读取 /var/www/data/secret.txt</p> <p>提示: 注入操作系统命令的分隔符,调用'cat'命令。</p> <pre><code>[Form] 目标: www.example.com 提交按钮 </code></pre> <p>8.打开跳转(Open Redirector)</p> <p>当你点击下面的标志,你会被重定向到范例网站。 攻击这个应用程序,请重定向到以外的主机 “www.example.com”。</p> <p>提示: 一个‘url’参数在正则表达式中被验证:"^<a href="http://www.example.com">http://www.example.com</a>"</p> <pre><code>[Form] 一张图片。图片的链接: http://www.example.com </code></pre> <p>9.电子邮件header注入(Mail Header Injection)</p> <p>请向电子邮件的header中注入“To”。</p> <p>提示: 注入一个换行符。</p> <pre><code>[Form] 联系我们 Name: Email Address: Message: 提交按钮 </code></pre>