sraafiamuskaan/Cybersecurity-Internship-Task3
GitHub: sraafiamuskaan/Cybersecurity-Internship-Task3
该仓库记录了在 DVWA 靶场环境下完成 Web 应用安全实习任务的完整实践过程,涵盖多种经典 Web 漏洞的利用演示与缓解分析。
Stars: 0 | Forks: 0
# 任务 3 – Web 应用安全
## 网络安全实习 – ApexPlanet Software Pvt. Ltd.
### 提交者
**Raafia Muskaan**
## 概述
本仓库包含作为 ApexPlanet Software Pvt. Ltd. 网络安全实习一部分所完成的**任务 3:Web 应用安全**的交付成果。
本任务侧重于在受控实验室环境中,使用 **DVWA (Damn Vulnerable Web Application)** 识别、利用和理解常见的 Web 应用漏洞。通过实际操作来了解这些漏洞的影响以及用于缓解它们的安全措施。
## 目标
* 执行 SQL 注入攻击和数据库枚举。
* 演示反射型和存储型跨站脚本攻击 (XSS)。
* 执行跨站请求伪造 (CSRF) 攻击。
* 演示本地和远程文件包含。
* 使用 Burp Suite 拦截和分析 HTTP 请求。
* 分析 HTTP 安全响应头。
* 了解安全编码实践和缓解技术。
## 使用的工具与技术
* Kali Linux
* DVWA (Damn Vulnerable Web Application)
* Burp Suite Community Edition
* Mozilla Firefox
* Apache Web Server
* PHP
* MySQL
* curl
* Oracle VirtualBox
## 执行的活动
### 1. SQL 注入
* 数据库初始化
* SQL 注入测试
* 用户枚举
* 数据库版本检测
* 数据库名称枚举
* 数据表枚举
* 密码哈希提取
* SQL 注入预防
### 2. 跨站脚本攻击 (XSS)
* 反射型 XSS
* 存储型 XSS
* 输入验证与缓解
### 3. 跨站请求伪造 (CSRF)
* 密码修改攻击
* 身份验证
* CSRF 防护技术
### 4. 文件包含
* 本地文件包含 (LFI)
* 远程文件包含 (RFI) 尝试
* 文件包含缓解
### 5. Burp Suite 进阶
* HTTP 请求拦截
* 请求修改
* Burp Intruder 配置
* payload 测试
### 6. 安全响应头分析
* 使用 curl 检查 HTTP 响应头
* SecurityHeaders.com 分析
* 审查缺失的安全响应头
## 主要学习成果
* 学习了实用的 Web 应用渗透测试技术。
* 执行了 SQL 注入和数据库枚举。
* 演示了反射型和存储型 XSS 攻击。
* 探索了跨站请求伪造攻击。
* 了解了文件包含漏洞。
* 使用了 Burp Suite 来拦截和修改 HTTP 请求。
* 分析了 HTTP 安全响应头。
* 学习了常见 OWASP Top 10 漏洞的缓解策略。
## 仓库结构
```
Cybersecurity-Internship-Task3/
│
├── README.md
├── Task3_Report.pdf
├── Task3_Notes.pdf
└── Screenshots/
```
## 仓库内容
* 任务 3 报告
* 任务 3 笔记
* 实践截图
* README 文档
## 结论
本任务提供了关于常见 Web 应用漏洞和安全测试技术的实践体验。使用 DVWA 和 Burp Suite,在受控环境中演示了包括 SQL 注入、跨站脚本攻击、跨站请求伪造和文件包含在内的各种攻击。该任务巩固了关于 Web 应用安全、安全编码实践和漏洞缓解的实践知识。
## 作者
**Raafia Muskaan**
网络安全实习 – ApexPlanet Software Pvt. Ltd.
标签:Burp Suite, CISA项目, Web安全, 安全实验靶场, 蓝队分析