当前位置: 首页 > article >正文

DVWA 命令注入从 Low 到 Impossible 教程及源码分析

1. Low 级别

127.0.0.1; ls -la

防护措施: 使用 escapeshellarg()escapeshellcmd() 函数对用户输入进行转义。

源码分析:

没有对用户输入做任何限制

2. Medium 级别

输入 127.0.0.1 || ls -la

源码分析:

过滤了&& ;

修复建议:

使用更严格的输入验证,例如只允许 IP 地址格式的输入。

使用白名单机制,只允许特定的字符或命令。

3. High 级别

输入 |ls

**源码分析:**他给| 空格过滤了,所以直接用|绕过

4. Impossible 级别

在 Impossible 级别,DVWA 通过严格的输入验证和白名单机制彻底修复了命令注入漏洞。


http://www.kler.cn/a/588436.html

相关文章:

  • 监控易对各类服务器硬件的广泛支持和深入监控能力
  • pybind11出现的问题
  • 每天五分钟深度学习框架pytorch:常见神经网络层的维度信息总结
  • Linux mount和SSD分区
  • 垃圾回收机制是什么 ?JVM 核心结构?
  • Linux-进程概念
  • 麒麟服务器操作系统Sqlite部署手册
  • 笔记:代码随想录算法训练营day48:739. 每日温度\496.下一个更大元素 I\503.下一个更大元素II
  • 【专项测试】限流测试
  • Java算法OJ(12)
  • Vue 3 组件库主题化与可扩展性深度剖析:设计模式与实现策略 - 构建灵活适应多场景的组件库架构
  • Java缓存String(字符串常量池)、Integer (-128 到 127 )
  • 计算机基础:二进制基础12,十进制数转换为十六进制
  • 联想台式电脑启动项没有U盘
  • 【医学影像 AI】大型语言模型生成 ROP 患者信息材料的能力
  • 编程题《牛牛的链表删除》的python可以用非链表的方式
  • 某省政务信创案例:3阶段实施×5类工具链选型经验分享
  • Word 小黑第18套
  • 用DasViewer的时候3Dtiles 转osgb 可以直接指定目标坐标系吗?
  • 【c++】【智能指针】什么情况下不适合智能指针