Pikachu是一個比較詳細的漏洞平台,可以用來對Web應用漏洞進行深入的學習。
我選擇使用該平台來測試的原因,主要是因為該平台也是由PHP和MySQL搭建的。
Pikachu上的漏洞類型列表如下:
1、Burt Force(暴力破解漏洞)
2、XSS(跨站腳本漏洞)
3、CSRF(跨站請求偽造)
4、SQL-Inject(SQL注入漏洞)
5、RCE(遠程命令/代碼執行)
6、Files Inclusion(文件包含漏洞)
7、Unsafe file downloads(不安全的文件下載)
8、Unsafe file uploads(不安全的文件上傳)
9、Over Permisson(越權漏洞)
10、../../../(目錄遍歷)
11、I can see your ABC(敏感信息泄露)
12、PHP反序列化漏洞
13、XXE(XML External Entity attack)
14、URL重定向
15、SSRF(Server-Side Request Forgery)
16、管理工具:里面提供了一個簡易的xss管理后台,供你測試釣魚和獲取cookie~
接下來,我們注意對這些漏洞進行分析,了解這些漏洞的原理。