sraafiamuskaan/Cybersecurity-Internship-Task3

GitHub: sraafiamuskaan/Cybersecurity-Internship-Task3

该仓库记录了在 DVWA 靶场环境下完成 Web 应用安全实习任务的完整实践过程,涵盖多种经典 Web 漏洞的利用演示与缓解分析。

Stars: 0 | Forks: 0

# 任务 3 – Web 应用安全 ## 网络安全实习 – ApexPlanet Software Pvt. Ltd. ### 提交者 **Raafia Muskaan** ## 概述 本仓库包含作为 ApexPlanet Software Pvt. Ltd. 网络安全实习一部分所完成的**任务 3:Web 应用安全**的交付成果。 本任务侧重于在受控实验室环境中,使用 **DVWA (Damn Vulnerable Web Application)** 识别、利用和理解常见的 Web 应用漏洞。通过实际操作来了解这些漏洞的影响以及用于缓解它们的安全措施。 ## 目标 * 执行 SQL 注入攻击和数据库枚举。 * 演示反射型和存储型跨站脚本攻击 (XSS)。 * 执行跨站请求伪造 (CSRF) 攻击。 * 演示本地和远程文件包含。 * 使用 Burp Suite 拦截和分析 HTTP 请求。 * 分析 HTTP 安全响应头。 * 了解安全编码实践和缓解技术。 ## 使用的工具与技术 * Kali Linux * DVWA (Damn Vulnerable Web Application) * Burp Suite Community Edition * Mozilla Firefox * Apache Web Server * PHP * MySQL * curl * Oracle VirtualBox ## 执行的活动 ### 1. SQL 注入 * 数据库初始化 * SQL 注入测试 * 用户枚举 * 数据库版本检测 * 数据库名称枚举 * 数据表枚举 * 密码哈希提取 * SQL 注入预防 ### 2. 跨站脚本攻击 (XSS) * 反射型 XSS * 存储型 XSS * 输入验证与缓解 ### 3. 跨站请求伪造 (CSRF) * 密码修改攻击 * 身份验证 * CSRF 防护技术 ### 4. 文件包含 * 本地文件包含 (LFI) * 远程文件包含 (RFI) 尝试 * 文件包含缓解 ### 5. Burp Suite 进阶 * HTTP 请求拦截 * 请求修改 * Burp Intruder 配置 * payload 测试 ### 6. 安全响应头分析 * 使用 curl 检查 HTTP 响应头 * SecurityHeaders.com 分析 * 审查缺失的安全响应头 ## 主要学习成果 * 学习了实用的 Web 应用渗透测试技术。 * 执行了 SQL 注入和数据库枚举。 * 演示了反射型和存储型 XSS 攻击。 * 探索了跨站请求伪造攻击。 * 了解了文件包含漏洞。 * 使用了 Burp Suite 来拦截和修改 HTTP 请求。 * 分析了 HTTP 安全响应头。 * 学习了常见 OWASP Top 10 漏洞的缓解策略。 ## 仓库结构 ``` Cybersecurity-Internship-Task3/ │ ├── README.md ├── Task3_Report.pdf ├── Task3_Notes.pdf └── Screenshots/ ``` ## 仓库内容 * 任务 3 报告 * 任务 3 笔记 * 实践截图 * README 文档 ## 结论 本任务提供了关于常见 Web 应用漏洞和安全测试技术的实践体验。使用 DVWA 和 Burp Suite,在受控环境中演示了包括 SQL 注入、跨站脚本攻击、跨站请求伪造和文件包含在内的各种攻击。该任务巩固了关于 Web 应用安全、安全编码实践和漏洞缓解的实践知识。 ## 作者 **Raafia Muskaan** 网络安全实习 – ApexPlanet Software Pvt. Ltd.
标签:Burp Suite, CISA项目, Web安全, 安全实验靶场, 蓝队分析