攻击网站

在本节中, 我们将讨论攻击网站。对于攻击网站, 我们有两种方法：

1. 到目前为止, 我们可以使用攻击网站的方法。因为我们知道网站安装在计算机上, 所以我们可以像其他任何计算机一样尝试攻击和黑客入侵该网站。但是, 我们知道网站已安装在一台计算机上, 我们可以像对待其他任何计算机一样尝试攻击和入侵该网站。我们还可以使用服务器端攻击来查看安装了哪个操作系统, Web服务器或其他应用程序。如果发现任何漏洞, 则可以使用其中的任何一个来访问计算机。
2. 攻击的另一种方法是客户端攻击。因为网站是由人管理和维护的。这意味着, 如果我们设法黑客入侵该站点的任何管理员, 我们将可能能够获取其用户名和密码, 然后从那里登录其管理面板或安全套接字外壳（SSH）。然后, 我们将能够访问它们用来管理网站的任何服务器。

如果两种方法都失败, 我们可以尝试测试该Web应用程序, 因为它只是该网站上安装的应用程序。因此, 我们的目标可能不是Web应用程序, 也许我们的目标只是一个使用该网站的人, 但是其计算机无法访问。相反, 我们可以转到该网站, 入侵该网站, 然后从那里转到我们的目标人员。

所有的设备和应用程序都是相互连接的, 我们可以利用其中之一来发挥自己的优势, 然后进入另一台计算机或另一处地方。在本节中, 我们将重点研究测试Web应用程序本身的安全性, 而不是只关注客户端和服务器端的攻击。

我们将使用Metasploitable机器作为目标机器, 如果运行ifconfig命令, 我们将看到其IP为10.0.2.4, 如以下屏幕截图所示：

如果我们查看/ var / www文件夹中的内容, 则可以看到存储的所有网站文件, 如以下屏幕截图所示：

在上面的屏幕截图中, 我们可以看到我们有phpinfo.php页面, 并且有dvwa, mutillidae和phpMyAdmin。现在, 如果我们转到同一网络上的任何计算机, 并尝试打开浏览器并转到10.0.2.4, 我们将看到我们为Metasploitable创建了一个网站, 如给定的屏幕快照所示。网站只是安装在网络浏览器上的应用程序, 我们可以访问任何Metasploitable网站并使用它们来测试其安全性：

现在我们来看看DVWA页面。它要求以Username（用户名）作为admin和Password（密码）作为密码才能登录。输入这些凭据后, 我们就可以登录, 如以下屏幕快照所示：

登录后, 可以使用“ DVWA安全性”选项卡修改安全性设置, 如以下屏幕截图所示：

在“ DVWA安全性”选项卡下, 我们将“脚本安全性”设置为“低”, 然后单击“提交”：

我们将在接下来的部分中将其设置为较低。因为这只是入门课程, 所以我们仅讨论在DVWA和Mutilliidae Web应用程序中发现Web应用程序漏洞的基本方法。

如果以访问DVWA Web应用程序的相同方式访问Mutillidae Web应用程序, 则应确保将“安全级别”设置为0, 如以下屏幕截图所示：

我们可以通过单击页面上的“切换安全性”选项来切换安全级别：