09 2017 档案
摘要:WebGoat系列实验Injection Flaws Numeric SQL Injection 1. 下列表单允许用户查看天气信息,尝试注入SQL语句显示所有天气信息。 2. 选择一个位置的天气,如Columbia,点击Go!按钮,使用Burp拦截GET请求,将参数station的值由原来的 10
阅读全文
摘要:WebGoat系列实验Cross Site Scripting (XSS) PhishingTitle 1. 本次实验是在一个已知存在XSS漏洞的页面进行钓鱼攻击。通过使用XSS与HTML注入,在页面中注入身份认证html代码,添加javascript脚本收集身份认证信息,并发送到http://lo
阅读全文
摘要:WebGoat系列实验AJAX Security DOM Injiction 1. 实验对象是一个接受激活密钥后允许你访问的系统,实验目标是尝试将激活按钮变得可以点击。 2. 直接修改页面代码激活按钮,Chrome浏览器下F12查看网页源代码,找到按钮对应的代码 那一行,将disabled删除,就可
阅读全文
摘要:WebGoat系列实验Denial of Service & Insecure Communication ZipBomb 1. 服务器仅接收ZIP文件,将上传的文件解压,进行操作之后删除。已知服务器提供了20MB的临时存储空间用于处理所有请求,实验需要上传一个文件来执行DOS攻击,消耗掉所有临时存
阅读全文
摘要:WebGoat系列实验Buffer Overflows & Code Quality & Concurrency Off by One Overflows 1. 实验需要访问OWASP Hotel页面,找出VIP客户的房间号。 2. Step 1中需要登记用户的First Name,Last Nam
阅读全文
摘要:WebGoat系列实验Authentication Flaws Forgot Password 1. Web应用经常给用户提供取回密码的功能,但是许多应用的实现策略实现的很差,用于验证用户的信息非常简单。 2. 本次实验已知自己的账户名是webgoat,最喜欢的颜色是红色,尝试取回admin用户的密
阅读全文
摘要:WebGoat系列实验Access Control Flaws Using an Access Control Matrix 1. 在基于角色的访问控制策略中,每个角色都代表了一个访问权限的集合。一个用户可以分配一到多个角色。基于角色的访问控制策略通常由两部分组成:角色许可管理与角色分配。基于角色的
阅读全文
浙公网安备 33010602011771号