学习渗透测试

远程文件包含-此漏洞可在目标web服务器上加载远程文件，利用此漏洞可使您完全控制目标web服务器。

软件介绍

1。信息收集-在本节中，您将学习如何收集有关目标网站的信息，您将学习如何发现所使用的DNS服务器、服务、子域、未发布的目录、敏感文件、用户电子邮件、同一服务器上的网站，甚至web宿主提供商。这些信息至关重要，因为它增加了成功访问目标网站的机会。
2。发现、利用和缓解-在本节中，您将学习如何发现、利用和缓解大量漏洞，本节分为多个小节，每个小节涵盖特定漏洞，首先您将了解该漏洞是什幺以及它允许我们做什幺，然后您将了解如何为了利用此漏洞并绕过安全措施，最后我们将分析导致此漏洞的代码并了解如何修复它，本课程将介绍以下漏洞：
文件上载：此漏洞允许攻击者在目标web服务器上上载可执行文件，正确利用这些漏洞可使您完全控制目标网站。
代码执行-此漏洞允许用户在目标web服务器上运行系统代码，此漏洞可用于执行恶意代码并获取反向外壳访问权限，从而使攻击者能够完全控制目标web服务器。
本地文件包含-此漏洞可用于读取目标服务器上的任何文件，因此可以利用此漏洞读取敏感文件，但我们不会就此停止，您将学习两种方法来升级此漏洞并获取反向外壳连接，从而完全控制目标web服务器。

软件特色

SQL注入-这是最危险的漏洞之一，到处都有，可以利用它来执行上述漏洞允许我们执行的所有操作以及其他操作，因此它允许您以管理员身份登录而不知道密码，访问数据库并获取存储在其中的所有数据，如用户名、密码，信用卡…等，读/写文件，甚至获得一个反向外壳访问，让你完全控制目标服务器！
跨站点脚本（XSS）-此漏洞可用于对访问易受攻击页面的用户运行javascript代码，我们不会就此停止，您将学习如何从用户（如facebook或youtube密码）窃取凭据，甚至获得对其计算机的完全访问。您将学习所有三种类型（反射、存储和基于DOM）。
不安全会话管理-在本节中，您将学习如何利用web应用程序中的不安全会话管理，在不知道密码的情况下登录到其他用户帐户，还将学习如何发现和利用CSRF（跨站点请求伪造）漏洞。

软件说明

暴力和字典攻击-在本节中，您将了解这些攻击是什幺，它们之间的区别是什幺，以及如何启动它们，在成功的情况下，您将能够猜测目标登录页的密码。
后攻击-在本节中，您将了解如何利用从利用上述漏洞获得的访问权限，如何将反向外壳访问转换为周访问，反之亦然，还将了解如何在目标服务器上执行系统命令，在目录之间导航，访问其他网站在同一台服务器上，上传/下载文件，访问数据库，甚至将整个数据库下载到本地计算机上。您还将学习如何绕过安全性并执行所有这些操作，即使您没有足够的权限