攻击网站

在本节中，我们将讨论攻击网站。对于攻击网站，我们有两种方法

1. 我们可以使用到目前为止我们学习的攻击网站的方法。因为我们知道网站安装在计算机上，所以我们可以尝试像攻击和黑客攻击任何其他计算机一样攻击和黑客攻击它。但是，我们知道网站安装在计算机上，我们可以尝试像攻击和黑客攻击任何其他计算机一样攻击和黑客攻击它。我们还可以使用服务器端攻击来查看安装了哪些操作系统、Web 服务器或其他应用程序。如果我们发现任何漏洞，我们可以使用其中任何一个来访问计算机。
2. 另一种攻击方法是客户端攻击。因为网站由人类管理和维护。这意味着，如果我们设法入侵了该网站的任何管理员，我们可能能够获得他们的用户名和密码，并从那里登录到他们的管理面板或**安全套接字 Shell (SSH)**。然后我们将能够访问他们用来管理网站的任何服务器。

如果这两种方法都失败了，我们可以尝试测试 Web 应用程序，因为它只是一个安装在该网站上的应用程序。因此，我们的目标可能不是 Web 应用程序，也许我们的目标只是一个使用该网站的人，但他们的计算机无法访问。相反，我们可以进入网站，入侵网站，然后从那里进入我们的目标人物。

所有设备和应用程序都是相互连接的，我们可以利用其中一个来获得优势，然后进入另一台计算机或另一个地方。在本节中，我们将学习如何测试 Web 应用程序本身的安全性，而不是专注于客户端和服务器端攻击。

我们将使用 **Metasploitable** 机器作为我们的目标机器，如果运行 **ifconfig** 命令，我们将看到它的 IP 为 **10.0.2.4**，如以下截图所示

如果我们查看 ***/var/www*** 文件夹，我们可以看到存储的所有网站文件，如以下截图所示

在上面的截图中，我们可以看到我们有 **phpinfo.php** 页面，以及 **dvwa**、**mutillidae** 和 **phpMyAdmin**。现在，如果我们转到同一网络上的任何机器，并尝试打开浏览器并转到 **10.0.2.4**，我们将看到我们有一个为 Metasploitable 制作的网站，如给定的截图所示。网站只是一个安装在 Web 浏览器上的应用程序，我们可以访问任何 Metasploitable 网站并使用它们来测试其安全性

现在我们将查看 **DVWA 页面**。它需要 **用户名** 为 **admin** 和 **密码** 为密码才能登录。输入这些凭据后，我们就可以登录，如以下截图所示

登录后，我们可以使用 **DVWA 安全**选项卡修改安全设置，如以下截图所示

在 **DVWA 安全**选项卡下，我们将把 **脚本安全**设置为 **low** 并点击 **提交**

在接下来的部分中，我们将保持设置为 **low**。因为这只是一个入门课程，我们只会讨论在 DVWA 和 Mutilliidae Web 应用程序中发现 Web 应用程序漏洞的基本方法。

如果我们以与访问 DVWA Web 应用程序相同的方式转到 Mutillidae Web 应用程序，我们应该确保我们的 **安全级别** 设置为 **0**，如以下截图所示

我们可以通过点击页面上的 **切换安全**选项来切换 **安全级别**