攻击网站

在本节中，我们将讨论攻击网站。对于攻击网站，我们有两种方法：

• 到目前为止，我们可以使用攻击网站方法的方法。因为我们知道网站安装在计算机上，所以我们可以像其他任何计算机一样尝试攻击和黑客入侵该网站。但是，我们知道网站已安装在一台计算机上，我们可以像对待其他任何计算机一样尝试攻击和入侵该网站。我们还可以使用服务器端攻击来查看安装了哪个操作系统，Web服务器或其他应用程序。如果发现任何漏洞，则可以使用其中的任何一个来访问计算机。
• 攻击的另一种方法是客户端攻击。因为网站是由人管理和维护的。这意味着，如果我们设法黑客入侵该站点的任何管理员，我们将可能能够获取其用户名和密码，然后从那里登录其管理面板或安全套接字外壳(SSH) 。然后，我们将能够访问它们用来管理网站的任何服务器。

如果两种方法都失败，我们可以尝试测试该Web应用程序，因为它只是该网站上安装的应用程序。因此，我们的目标可能不是Web应用程序，也许我们的目标只是一个使用该网站的人，但是其计算机无法访问。相反，我们可以转到该网站，入侵该网站，然后从那里转到我们的目标人员。

所有的设备和应用程序都是相互连接的，我们可以利用其中之一来发挥自己的优势，然后进入另一台计算机或另一处地方。在本节中，我们将重点研究测试Web应用程序本身的安全性，而不是只关注客户端和服务器端的攻击。

我们将使用Metasploitable机器作为目标机器，如果运行ifconfig命令，我们将看到其IP为10.0.2.4 ，如以下屏幕截图所示：

如果我们查看/ var / www文件夹中的内容，则可以看到存储的所有网站文件，如以下屏幕截图所示：

在上面的屏幕截图中，我们可以看到我们有phpinfo.php页面，还有dvwa ， mutillidae和phpMyAdmin 。现在，如果我们转到同一网络上的任何计算机，然后尝试打开浏览器并转到10.0.2.4 ，我们将看到我们为Metasploitable创建了一个网站，如给定的屏幕快照所示。网站只是安装在网络浏览器上的应用程序，我们可以访问任何Metasploitable网站并使用它们来测试其安全性：

现在我们来看看DVWA页面。它需要使用用户名admin和密码作为密码才能登录。输入这些凭据后，我们就可以登录，如以下屏幕快照所示：

登录后，可以使用“ DVWA安全性”选项卡修改安全性设置，如以下屏幕截图所示：

在“ DVWA安全性”选项卡下，我们将“脚本安全性”设置为“低” ，然后单击“提交” ：

我们将在接下来的部分中将其设置为较低。因为这只是入门课程，所以我们仅讨论在DVWA和Mutilliidae Web应用程序中发现Web应用程序漏洞的基本方法。

如果以访问DVWA Web应用程序的相同方式访问Mutillidae Web应用程序，则应确保将“安全级别”设置为0 ，如以下屏幕截图所示：

我们可以通过单击页面上的切换安全性选项来切换安全性级别：