DVWA

Nuovo post sull’applicazione DVWA, oggi risolveremo la vulnerabilità: DVWA File Upload. I requisiti sono: DVWA Command Injection completato, in caso contrario non proseguite! Qualsiasi Browser Proxy tipo Burpsuite e Zap o browser plugin tipo Tamper Data Editor di immagini, ad esempio GIMP Lo scopo di questa vulnerabilità è quello di riuscire a caricare sul server remoto una web shell attaccando una pagina dedita all’upload di immagini. DVWA File Upload – Low Level Il livello semplice, come ormai sappiamo, non ha alcun tipo di protezione quindi faremo l’upload di una web shell php....

Ciao a tutti, la write-up di oggi riguarderà la vulnerabilità DVWA SQL Injection. I requisiti sono: Conoscenze minime MySQL Qualsiasi Browser Proxy tipo Burpsuite e Zap o browser plugin tipo Tamper Data L’app DVWA propone due tipi di vulnerabilità, SQL Injection, e SQL Injection Blind. Inizierò subito con la vulnerabilità SQL Injection Blind dato che è la più complicata e divertente da scovare. Il risultato di un attacco SQL Injection nei migliori dei casi restituirà il classico messaggio:...

DVWA Command Injection – Soluzione Completa Bentornati, o benarrivati, nel post di oggi troverete la risoluzione della vulnerabilità: DVWA Command Injection, i requisiti sono: Qualsiasi browser disponibile Minima conoscenza di Linux, in particolare l’abilità nell’eseguire comandi multipli. L’obbiettivo del test è quello di eseguire comandi arbitrari sul sistema operativo che ospita l’applicativo. Il target è una semplice paginetta composta da un form nella quale viene richiesto di inserire un indirizzo ip da pingare....

Eccoci alla risoluzione della prima vulnerabilità che ho affrontato DVWA XSS Reflected, i requisiti per affrontare questo test sono: Browser senza filtri XSS, consiglio Mozilla **Firefox ** L’obbiettivo di questo test è iniettare del codice javascript all’interno di una pagina web che stampa a video caratteri passati tramite un form. La richiesta avviene tramite metodo GET e la variabile target si chiama “name“. Analizzando il sorgente html si può notare come il valore da me inviato (homelab) venga stampato a video tra i tag...

Avete voglia di testate le vostre conoscenze o skills di penetration testing per quanto riguardo il campo web applicativo senza problemi legali? Avete voglia di conoscere le possibili mitigation da attuare contro le maggiori vulnerabilità? Bene! Damn Vulnerable Web Application fa proprio al caso vostro! DVWA è una web application scritta in PHP e MySQL installabile in qualsiasi ambiente in cui sia presente un web server, php e mysql. L’applicazione è stata creata e concepita piena zeppa di vulnerabilità più o meno facili da scovare, il livello di difficoltà può essere configurato come:...