版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
1、精選文檔WebGoat試驗(yàn)報(bào)告一、WebGoat 項(xiàng)目簡介 WebGoat是OWASP組織研制出的用于進(jìn)行web漏洞試驗(yàn)的應(yīng)用平臺(tái),用來說明web應(yīng)用中存在的平安漏洞。WebGoat運(yùn)行在帶有JVM的平臺(tái)上,當(dāng)前供應(yīng)的訓(xùn)練課程有30多個(gè),其中包括:跨站點(diǎn)腳本攻擊(XSS)、訪問把握、線程平安、操作隱蔽字段、操縱參數(shù)、弱會(huì)話cookie、SQL盲注、數(shù)字型SQL注入、字符串型SQL注入、web服務(wù)、Open Authentication失效、危急的HTML注釋等等。WebGoat供應(yīng)了一系列web平安學(xué)習(xí)的教程,某些課程也給出了視頻演示,指導(dǎo)用戶利用這些漏洞進(jìn)行攻擊。二、WebGoat的安裝We
2、bGoat 可以在網(wǎng)上下載到,運(yùn)行其中的“webgoat_8080.bat”即可。在運(yùn)行前,需要將代理設(shè) 置為 localhost,端口 8008。 在掃瞄器中輸入 http:/localhost:8080/WebGoat/attack 登錄,假如啟動(dòng)了 Webscarab,則在掃瞄器 輸入 http:/localhost.:8080/WebGoat/attack。初始用戶名密碼是 guest。 也可以在WebGoat-5.2tomcatconftomcat-users.xml 修改用戶名與密碼。 也可以在WebGoat-5.2tomcatconfserver_80.xml 文件中修改端口。三
3、、WebGoat的使用3.1 先修課之Http基礎(chǔ)學(xué)問 HTTP(Hypertext transfer protocol)->超文本傳輸協(xié)議,是一種具體規(guī)定了掃瞄器和萬維網(wǎng)服務(wù)器(www)之間相互通信的規(guī)章,通過因特網(wǎng)傳送萬維網(wǎng)文檔的數(shù)據(jù)傳送協(xié)議。運(yùn)行于OSI模型的應(yīng)用層,由懇求和響應(yīng)兩部分構(gòu)成。HTTP協(xié)議是無狀態(tài)的協(xié)議。無狀態(tài)指HTTP協(xié)議對(duì)于事務(wù)處理沒有記憶力。缺少事務(wù)狀態(tài)意味著若后續(xù)處理需要前面的信息,則必需重傳,可能導(dǎo)致每次連接傳送的數(shù)據(jù)量增大?;谑聞?wù)處理的需要,消滅了cookie和session技術(shù)。 在掃瞄器設(shè)置中增加一個(gè) localhost 的代理,然后可以啟動(dòng) Web
4、Scarab。我們需要在“攔截(Intercept)”選項(xiàng)卡中選擇“攔截懇求(intercept request)”。在頁面輸入框中填寫上您的名字(“Your Name”)后,單擊【Go!】按鈕提交數(shù)據(jù)。在 WebScarab 的新窗口中,我們可以找到參數(shù)“person”。3.2 HTTP 拆分攻擊者在向 Web 服務(wù)器正常輸入的懇求中加入惡意代碼,受到攻擊的應(yīng)用不會(huì)檢查 CR (回車,也可表示為%0d 或r)和 LF(換行,也可表示為%0a 或n)。這些字符不僅使攻擊 者把握應(yīng)用程序打算發(fā)送的響應(yīng)頭和響應(yīng)體,而且還使他們能夠完全在其把握下制造更多的 答復(fù)。 HTTP 拆分攻擊協(xié)作緩存污染一起
5、使用,能使效果達(dá)到最大化。緩存污染攻擊的目標(biāo)是 使緩存污染,哄騙緩存,使其信任使用 HTTP 拆分劫持的頁面是一個(gè)很正常的頁面,是一個(gè) 服務(wù)器的副本。攻擊發(fā)生時(shí),使用 HTTP 拆分攻擊,加上最終修改添加的部分:懇求頭,并 設(shè)置它為將來的日期。這將迫使掃瞄器發(fā)送 If Modified Since 懇求頭,這使攻擊者有機(jī)會(huì) 攔截服務(wù)器的答復(fù),并代之以一個(gè)“304 不修改”答復(fù)。用戶需要使用 LF, %0a 由于輸入內(nèi)容未作驗(yàn)證您可以插入任何 HTTP 語法,回車和換行符。 任憑輸入一個(gè)語言名稱提交看看數(shù)據(jù)都是怎么交互的。請(qǐng)確認(rèn) WebScarab 的懇求攔截 和
6、返回?cái)r截功能已經(jīng)啟用。語言框輸入“en”,并提交數(shù)據(jù)。 3.3 訪問把握缺陷 在一個(gè)基于角色的訪問把握方案中,角色代表了一組訪問權(quán)限和特權(quán)。一個(gè)用戶可以被 安排一個(gè)或多個(gè)角色。一個(gè)基于角色的訪問把握方案通常有兩個(gè)部分組成:角色權(quán)限管理和 角色安排。一個(gè)被破壞的基于角色的訪問把握方案可能允許用戶執(zhí)行不允許他/她的被安排 的角色,或以某種方式允許特權(quán)升級(jí)到未經(jīng)授權(quán)的角色的訪問。先選擇一個(gè)用戶,再選擇一個(gè)資源,然后點(diǎn)擊【Check Access】,消滅頁面如下圖所示:在 Select resource 選項(xiàng)中選中下一個(gè)資源 Time Card Entry,然后是點(diǎn)擊【Check Access】,消滅
7、頁面如下所示:3.4 繞過基于路徑的訪問把握方案在一個(gè)基于路徑的訪問把握方案中,攻擊者可以通過供應(yīng)相對(duì)路徑信息遍歷路徑。因此, 攻擊者可以使用相對(duì)路徑訪問那些通常任何人都不能直接訪問或直接懇求就會(huì)被拒絕的文 件。選中“Choose the file to view”列表下的任何一個(gè)文件,然后點(diǎn)擊【View File】,用 WebScarab 工具截獲向服務(wù)器發(fā)送的懇求,如圖所示:3.5基于角色的訪問把握 在一個(gè)基于角色訪問把握的方案中,角色代表一組訪問權(quán)限和特權(quán)。一個(gè)用戶可以被分 配一個(gè)或多個(gè)角色,一個(gè)基于角色的訪問把握通常包括兩個(gè)部分:角色權(quán)限管理和角色安排。 一個(gè)被破壞的基于角色的訪問把握
8、方案,可能允許用戶以沒有安排他/她的角色或以某種方 式獲得的未經(jīng)授權(quán)的角色進(jìn)行訪問。3.6 小試驗(yàn):客戶端過濾 服務(wù)端只向客戶端發(fā)送其只能訪問到的數(shù)據(jù)。在本課程中,服務(wù)端向客戶端發(fā)送了過多 的數(shù)據(jù),由此產(chǎn)生了一個(gè)嚴(yán)峻的訪問把握問題。通過【Select user】下拉菜單查詢其它數(shù)據(jù)。在有返回?cái)?shù)據(jù)的時(shí)候使用 Firebug 或 WebScarab 查看源代碼或返回?cái)?shù)據(jù)。找到 Neville 的薪水信息。四、總結(jié)收獲不小,以前直接看書,沒有實(shí)戰(zhàn),理解方面差很多,還看不進(jìn)去。有了測(cè)試平臺(tái)后,聯(lián)系實(shí)戰(zhàn),對(duì)于學(xué)問的理解有很大的掛念。課程設(shè)置有點(diǎn)問題,有時(shí)候檢測(cè)通過方法過于單一。由于平臺(tái)是英文,所以順帶熬煉英語了。對(duì)于自己從未接觸過得東西,完成起來問題很大。假如是生疏的學(xué)問,則能很輕松的完成。比如說XML我就沒用過,導(dǎo)致那個(gè)過濾的代碼不會(huì)寫。查了資料,過于片面
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 廣東科學(xué)技術(shù)職業(yè)學(xué)院《建筑給水排水》2023-2024學(xué)年第一學(xué)期期末試卷
- 廣東酒店管理職業(yè)技術(shù)學(xué)院《社會(huì)工作基礎(chǔ)》2023-2024學(xué)年第一學(xué)期期末試卷
- 廣東金融學(xué)院《動(dòng)物微生物與免疫學(xué)》2023-2024學(xué)年第一學(xué)期期末試卷
- 廣東建設(shè)職業(yè)技術(shù)學(xué)院《國際金融管理》2023-2024學(xué)年第一學(xué)期期末試卷
- 廣東工業(yè)大學(xué)《道路與橋梁工程實(shí)訓(xùn)》2023-2024學(xué)年第一學(xué)期期末試卷
- 廣東東軟學(xué)院《高級(jí)日語(I)》2023-2024學(xué)年第一學(xué)期期末試卷
- 廣東創(chuàng)新科技職業(yè)學(xué)院《導(dǎo)向信息媒體設(shè)計(jì)》2023-2024學(xué)年第一學(xué)期期末試卷
- 上海中醫(yī)藥基礎(chǔ)醫(yī)學(xué)免疫學(xué)課件緒論
- 廣東白云學(xué)院《計(jì)算機(jī)繪圖CAD》2023-2024學(xué)年第一學(xué)期期末試卷
- 共青科技職業(yè)學(xué)院《西方音樂史與欣賞Ⅰ》2023-2024學(xué)年第一學(xué)期期末試卷
- 小學(xué)生漫畫獨(dú)立學(xué)習(xí)力
- 燃?xì)庥脩舭惭b檢修工試題庫(含答案)
- 浙美版小學(xué)美術(shù)五年級(jí)上冊(cè)測(cè)試卷
- 以資源換產(chǎn)業(yè)方案
- 2022-2023學(xué)年四川省南充市九年級(jí)(上)期末數(shù)學(xué)試卷
- 陜西省重點(diǎn)中學(xué)2022-2023學(xué)年高二上學(xué)期期末考試英語試卷(含答案)
- 安徽省生豬養(yǎng)殖業(yè)低碳發(fā)展模式及技術(shù)經(jīng)濟(jì)效果研究的中期報(bào)告
- 醫(yī)院耗材管理委員會(huì)制度
- 二次函數(shù)大單元整體設(shè)計(jì)課件 【大單元教學(xué)】 學(xué)情分析指導(dǎo) 九年級(jí)數(shù)學(xué)北師大版下冊(cè)
- 風(fēng)管機(jī)空調(diào)安裝施工方案
- pcb多層板退錫工藝的研究進(jìn)展
評(píng)論
0/150
提交評(píng)論