前言
本次环境以DVWA靶场(不太安全的网站)及CTF题目(夺旗赛)先对OWASP TOP10漏洞原理通俗概述,接着对基础代码解析,然后执行的命令落地到本地复现,前端进行复现后分析流量包,植入CTF题目,最后演示WAF流量经过,以及最高级别代码防护分析包括最终流程图,分析较为详细,对于初学者,网安爱好者及蓝队初级、运维等比较友好,在正常面试安全岗位时,也可能会问到理论问题,安全设备的了解,链路流量的走向,包括HVV蓝队初级最低也会问到常见攻击手法的理解和防护!
注:流程示意图以我本地网络层-应用层传输为例、并非现实通用
Brute Force (爆破)
Command Injection (命令注入)
CSRF (跨站请求伪造)
File Inclusion (文件包含)
File upload (文件上传)
SQL Injection (SQL注入)
SQL Injection (Blind) (SQL盲注)
XSS (反射型XSS)
CROSS XSS (存储型XSS)