鐵人檔案
本專題以 DVWA(Damn Vulnerable Web App)為實驗平台,並使用 Kali Linux 與常用測試工具(Burp Suite、sqlmap、x64dbg 等)模擬與驗證多種 Web 漏洞攻擊:SQL Injection、反射/儲存型 XSS、CSRF、檔案上傳漏洞、Command Injection、Brute Force 等。每日紀錄包含攻擊步驟、截圖、利用原理與對應防禦措施(如參數化查詢、輸入驗證、WAF/ModSecurity 設定、IDS/Suricata 觀測),並以最終報告彙整攻防比較與學習心得。
為什麼選擇「DVWA + Kali Linux」?學習資安,最忌諱的就是紙上談兵。要真正理解一個漏洞,最好的方法就是親手利用它一次。為此,我們需要一個安全的「靶...
前言在 Day 1,我立下了目標:要打造一個屬於自己的資安實驗室。今天,就要來實現這個目標的第一步:準備好能夠運行我實驗室的平台。我不把攻擊用的軟體直接裝在自己...
前言 經過昨天的準備,我的硬碟裡現在應該躺著一個幾 GB 大小的 Kali Linux 虛擬機檔案。今天,我的任務是將這個檔案匯入 VirtualBox,按下啟...
前言在 Day 3, Kali Linux 已經順利開機並更新到最佳狀態,但還缺少一個可以讓我們合法練習的「靶場」。我的目標 DVWA 是一個基於 PHP 和...
前言 今天的過程會牽涉到檔案操作、權限設定、資料庫建立與設定檔修改,是整個環境建置過程中細節最多的一步。 第一步:下載 DVWA 原始碼首先需要從官方的 Git...
前言 我的靶場 (DVWA) 已經在伺服器 (LAMP) 上完美運行,而這一切都搭建在作業系統 (Kali Linux) 中。今天,將正式拿出滲透測試中不可或缺...
前言: 萬事俱備,來實際攔截一個封包看看! 回到 Burp Suite,點擊上方的主分頁 「Proxy」。 在下方的子分頁中,確定在 「Intercept」 (...
前言昨天,我學會了怎麼用 Burp Suite 攔截封包,這讓我能「看見」瀏覽器跟伺服器之間的溝通。但光是看還不夠,今天我要更進一步,去「修改」和「自動化」這些...
前言 手動一個個試太慢了,現在該輪到 Intruder 上場。Intruder 可以根據我設定的規則,自動化地替換請求中的特定部分,並發送大量請求。 第三步:設...
前言 昨天用 Intruder 成功爆破出密碼,讓我很有成就感。那感覺像是找到了正確的鑰匙,打開了一扇門。而今天,我要挑戰的「Command Injection...
