syedghulamm50/Web-Application-Penetration-Testing-

GitHub: syedghulamm50/Web-Application-Penetration-Testing-

一份基于 OWASP Juice Shop 靶场的 Web 渗透测试实验指南,逐步演示 SQL 注入、XSS 和 CSRF 三类漏洞的发现与利用过程。

Stars: 0 | Forks: 0

# Web 应用渗透测试 ## 这个项目是什么? 这是一个循序渐进的指南,展示如何发现网站中常见的安全漏洞。我们使用了一款名为 **Burp Suite Community Edition** 的流行网络安全工具,测试了一个名为 **OWASP Juice Shop** 的练习网站,并发现了三个主要漏洞:**SQL 注入 (SQLi)**、**跨站脚本攻击 (XSS)** 和 **跨站请求伪造 (CSRF)**。 ## 🛠️ 阶段 1:设置工具 ### 步骤 1:打开 Burp Suite Burp Suite 是一款用于拦截并查看你的计算机与被测试网站之间传输的网络流量的工具。启动一个临时项目以打开主控制面板。 ![Burp Suite 控制面板初始化](https://raw.githubusercontent.com/syedghulamm50/Web-Application-Penetration-Testing-/main/1.png) ### 步骤 2:打开内置浏览器 转到 **Proxy** 标签页并点击 **Open Browser**。这会打开一个特殊的浏览器,它会自动将所有网络数据直接发送到 Burp Suite 中,以便你进行监视。 ![打开内置浏览器](https://raw.githubusercontent.com/syedghulamm50/Web-Application-Penetration-Testing-/main/bsb2.png) ### 步骤 3:访问目标网站 在内置浏览器中,输入你的练习链接 (`https://preview.owasp-juice.shop`)。随着页面加载,你会看到一系列文件和链接填满了你的 **HTTP history** 标签页。这意味着 Burp Suite 正在成功映射该网站的背景结构。 ![捕获初始网站流量](https://raw.githubusercontent.com/syedghulamm50/Web-Application-Penetration-Testing-/main/bsh3.png) ## 🔍 阶段 2:发现并利用漏洞 ### 1. 绕过登录页面 (SQL 注入) * **含义:** 当数据库产生混淆,将你在登录框中输入的内容作为直接命令而非纯文本处理时,就会发生 SQL 注入。 * **操作步骤:** 1. 转到 Juice Shop 的登录页面。 2. 在 Email 字段中,输入这段具有魔力的文本:`admin@juice-sh.op' OR 1=1--` 3. 在密码字段中随意输入任何内容,然后点击 **Log in**。 ![粘贴 SQL 注入 Payload](https://static.pigsec.cn/wp-content/uploads/repos/cas/7e/7e2084f8f9fd1c722c72d3ceb734f92564078e7f7cd4705603bf880a13436c9d.png) * **结果:** 数据库读取了 `OR 1=1`(该条件永远为真),并自动将我们直接登录到系统中的第一个账户——管理员账户——而无需真实的密码! ![以管理员身份登录的个人资料页面](https://raw.githubusercontent.com/syedghulamm50/Web-Application-Penetration-Testing-/main/al5.png) ### 2. 让代码弹出 (跨站脚本攻击 / XSS) * **含义:** 当网站允许攻击者在文本框中输入自定义的编程代码 (JavaScript),并且网站意外地在用户的浏览器中执行了该代码时,就会发生 XSS。 * **操作步骤:** 1. 点击商店顶部的 **Search** 栏。 2. 普通的 `
标签:Burp Suite, CISA项目, CSRF, OPA, Web安全, XSS, 多线程, 数据可视化, 漏洞情报, 蓝队分析, 靶场