网安靶场环境_DVWA-读取文件报错File not found! Cookie中有两个security键

这篇具有很好参考价值的文章主要介绍了网安靶场环境_DVWA-读取文件报错File not found! Cookie中有两个security键。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

 文章来源地址https://www.toymoban.com/news/detail-750249.html

1 问题复现

(1)登录DVMA后,设置DVWA Security为Low。

网安靶场环境_DVWA-读取文件报错File not found! Cookie中有两个security键

 

(2)进入File Inclusion,访问dvwa/vulnerabilities/fi目录下的的test.txt文件(自己创建的测试文件)。

网安靶场环境_DVWA-读取文件报错File not found! Cookie中有两个security键

 

(3)报错ERROR: File not found! 找不到文件。

 

2 抓包分析

(1)使用BurpSuit抓包。

网安靶场环境_DVWA-读取文件报错File not found! Cookie中有两个security键

访问test.txt文件的请求中,Cookie有两个security键;导致设置DVWA Security为Low没有成功。

 

(2)在浏览器中查看“设置DVWA Security为Low”时,服务端Set Cookie情况。

网安靶场环境_DVWA-读取文件报错File not found! Cookie中有两个security键

在Set SessionId时指定了使用路径;而Set Security是没有指定路径。

 

(3)Cookie的属性。

属性

描述

name

Cookie的名称,Cookie一旦创建,名称便不可更改

value

Cookie的值。如果值为Unicode字符,需要为字符编码。如果值为二进制数据,则需要使用BASE64编码

maxAge

Cookie失效的时间,单位秒。如果为正数,则该Cookie在maxAge秒之后失效。如果为负数,该Cookie为临时Cookie,关闭浏览器即失效,浏览器也不会以任何形式保存该Cookie。如果为0,表示删除该Cookie。默认为-1。

secure

该Cookie是否仅被使用安全协议传输。安全协议。安全协议有HTTPS,SSL等,在网络上传输数据之前先将数据加密。默认为false。

path

Cookie的使用路径。如果设置为“/sessionWeb/”,则只有contextPath为“/sessionWeb”的程序可以访问该Cookie。如果设置为“/”,则本域名下contextPath都可以访问该Cookie。注意最后一个字符必须为“/”。

domain

可以访问该Cookie的域名。如果设置为“.google.com”,则所有以“google.com”结尾的域名都可以访问该Cookie。注意第一个字符必须为“.”。

comment

该Cookie的用处说明,浏览器显示Cookie信息的时候显示该说明。

version

Cookie使用的版本号。0表示遵循Netscape的Cookie规范,1表示遵循W3C的RFC 2109规范

 

3 修复服务端代码

(1)查看服务端setcookie的php代码。

网安靶场环境_DVWA-读取文件报错File not found! Cookie中有两个security键

发现没有给security指定使用路径。

 

(2)修改setcookie()中security的路径为“/”。

网安靶场环境_DVWA-读取文件报错File not found! Cookie中有两个security键

 

(3)PHP setcookie()函数。

语法:setcookie(name,value,expire,path,domain,secure)

参数

描述

name

必需。规定 cookie 的名称。

value

必需。规定 cookie 的值。

expire

可选。规定 cookie 的有效期。

path

可选。规定 cookie 的服务器路径。

domain

可选。规定 cookie 的域名。

secure

可选。规定是否通过安全的 HTTPS 连接来传输 cookie。

 

4 验证结果

(1)清除浏览器Cookie。

网安靶场环境_DVWA-读取文件报错File not found! Cookie中有两个security键

 

(2)重新登录DVMA,再次设置DVWA Security为Low。

网安靶场环境_DVWA-读取文件报错File not found! Cookie中有两个security键

Set SessionId的路径和Set Security的路径一致。

 

(3)进入File Inclusion,访问dvwa/vulnerabilities/fi目录下的的test.txt文件。

网安靶场环境_DVWA-读取文件报错File not found! Cookie中有两个security键

成功读取到文件内容,并且请求Cookie中只有一个security键。

 

到了这里,关于网安靶场环境_DVWA-读取文件报错File not found! Cookie中有两个security键的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Qt Creator创建项目后报错‘./ui_xx.h‘ file not found

    错误提示如图: 错误原因: 创建项目时勾选了形成xx.ui文件,此ui文件在构建项目后产生,故在没有构建项目前报错属于正常 解决办法: 构建项目后关闭再重新打开文件,提示即消失    

    2024年02月11日
    浏览(46)
  • 「完美解决」关于最新Ubuntu22.04.1安装launchpad里面PPA报错:“InRelease not available“,“not found file“等

    Ubuntu添加PPA(第三方个人软件包)源时,出现类似错误: “InRelease not available”,“403 Not Found”,“does not have a Release file.” 手动更改源获取的版本代号或许是最佳解决方案 此方案可以完美解决(Perhaps?😁) Ubuntu默认的桌面环境主题用着很不习惯,网上搜索了一下,瞄准了了un

    2024年02月03日
    浏览(38)
  • mac m2停止mysql报错:ERROR! MySQL server PID file could not be found!

    出现这个问题的原因有很多,我只说下我是怎么解决的。 首先看一下,你的mysql服务,有没有指定配置文件。 执行完之后,会输出几个可能的目录,你可以到各个目录下看看有没有my.cnf文件。如果没有,那就需要新建一个。 进入/etc目录,可能需要root权限,使用如下命令切换

    2024年02月09日
    浏览(58)
  • DVWA靶场-文件上传漏洞

           文件上传漏洞,通常是由于对上传文件的类型、内容没有进行严格的过滤、检查,使得攻击者可以通过上传木马获取服务器的webshell权限,因此文件上传漏洞带来的危害常常是毁灭性的,Apache、Tomcat、Nginx等都曝出过文件上传漏洞。 basename(str,name)       函数返回路

    2024年02月07日
    浏览(37)
  • Xcode(14.3)运行项目报错:File not found: /Applications/Xcode.app/Contents/Developer/Toolchains/XcodeDefault

    报错: File not found: /Applications/Xcode.app/Contents/Developer/Toolchains/XcodeDefault.xctoolchain/usr/lib/arc/libarclite_iphonesimulator.a 解决办法: 1、下载arc目录解压后复制到指定目录路径: /Applications/Xcode.app/Contents/Developer/Toolchains/XcodeDefault.xctoolchain/usr/lib

    2024年02月12日
    浏览(39)
  • 使用WSL时 “系统找不到指定的文件”(ConfigureNetworking/ERROR_FILE_NOT_FOUND)

    问题:之前为了扩大C盘容量,同一固态硬盘中,分区的所有数据拷贝到另一条固态上,并格式化其它的分区,最后导致WSL启动Ubuntu-16.04出错: 无法找到系统指定的文件 (ConfigureNetworking/ERROR_FILE_NOT_FOUND),幸好Ubuntu-16.04的目录下有一个ext4.vhdx(里面是文件系统,这是wsl2打包的

    2024年02月10日
    浏览(46)
  • error: ‘ui_mainwindow.h‘ file not found(ui头文件未创建)

    问题:在刚好创建的Qt Designer Form Class类中,发现类的.cpp文件中有ui头文件未找到 原因:.ui文件没有被识别到,或者.ui文件不存在,导致ui头文件未创建而报错。 解决:若修改了.ui文件,随手ctrl+s保存一下,不行再将工程重新构建或重启Qt,就会生成ui头文件,

    2024年02月11日
    浏览(41)
  • [Go 报错] go: go.mod file not found in current directory or any parent directory

    Build Error: go build -o c:Users13283Desktopgodemo__debug_bin3410376605.exe -gcflags all=-N -l . go: go.mod file not found in current directory or any parent directory; see \\\'go help modules\\\' (exit status 1) go 的环境配置问题。与 golang 的包管理有关 如果你是 Windows 系统,快捷键 “Win+R”,输入cmd,打开终端。输入: 解

    2024年02月09日
    浏览(44)
  • iOS pod repo push 报错 ld: file not found: libarclite_iphoneos.a 问题解决方案

    Xcode 升级 14.3 之后,在Xcode 运行项目会收到以下错误 File not found: /Applications/Xcode-beta.app/Contents/Developer/Toolchains/XcodeDefault.xctoolchain/usr/lib/arc/libarclite_iphoneos.a 项目中可以通过以下方法解决编译错误,就是在 Podfile 中,设置 IPHONEOS_DEPLOYMENT_TARGET ,代码如下: 但是因为项目中有一

    2024年02月06日
    浏览(50)
  • OC和Swift混编,导入头文件‘xxx-Swift.h‘ file not found

    在OC的项目里加入Swift代码,创建完桥接文件后,需要倒入Swift头文件,头文件的格式为“项目名-Swift.h”。 如下图,我在Xcode上看到我的项目名为YichangPark,导入 #import \\\"YiChangPark-Swift.h\\\" 之后提示 “YiChangPark-Swift.h”file not found. 言外之意,就是没有找到头文件! 解决办法: 1

    2024年02月10日
    浏览(44)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包