OWASP TOP10

什么是OWASP？

它的全称是 Open Web Application Security Project（开放式 Web 应用程序 安全 项目）

TOP 10

OWASP Top 10的意思就是10项最严重的Web 应用程序安全风险列表 ，它总结了Web应用程序最可能、最常见、最危险的十大漏洞，是开发、测试、服务、咨询人员应知应会的知识。

具体的十大漏洞，下载地址。

https://nchc.dl.sourceforge.net

里面的内容很多，我慢慢来做。

在之前的文章我就把DVWA做完了。

OWASP TOP10-腾讯云开发者社区-腾讯云

bWAPP的用户名：bee，密码：bug，登录后即可进行相应测试。

现在做bWAPP也是和DVWA差不多。也可以设置难度简单中等困难。

1，HTML注入(GET)

OWASP TOP10-腾讯云开发者社区-腾讯云

2，HTML注入(POST)

OWASP TOP10-腾讯云开发者社区-腾讯云

3，HTML注入(URL)

简单情况下直接进行url编码然后在输出到页面上。

抓包看一下。把后面的修改一下就可以注入了。

用xss那cookie就是简简单单。

中等难度下这个他是用document.URL这个函数去消除的，那么请问大佬们应该怎么注入或者绕过呢？

懂行的可以讲解一下吗？小白表示不懂啊！！！

中等都过不去就不用说困难了。

另外一个注入也是。我个人只能注入简单难度的。

中等难度下我注入不进去，希望大佬讲解一下。