WEBGoat實(shí)驗(yàn)報(bào)告_第1頁
WEBGoat實(shí)驗(yàn)報(bào)告_第2頁
WEBGoat實(shí)驗(yàn)報(bào)告_第3頁
WEBGoat實(shí)驗(yàn)報(bào)告_第4頁
WEBGoat實(shí)驗(yàn)報(bào)告_第5頁
已閱讀5頁,還剩4頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、精選文檔WebGoat試驗(yàn)報(bào)告一、WebGoat 項(xiàng)目簡介 WebGoat是OWASP組織研制出的用于進(jìn)行web漏洞試驗(yàn)的應(yīng)用平臺(tái),用來說明web應(yīng)用中存在的平安漏洞。WebGoat運(yùn)行在帶有JVM的平臺(tái)上,當(dāng)前供應(yīng)的訓(xùn)練課程有30多個(gè),其中包括:跨站點(diǎn)腳本攻擊(XSS)、訪問把握、線程平安、操作隱蔽字段、操縱參數(shù)、弱會(huì)話cookie、SQL盲注、數(shù)字型SQL注入、字符串型SQL注入、web服務(wù)、Open Authentication失效、危急的HTML注釋等等。WebGoat供應(yīng)了一系列web平安學(xué)習(xí)的教程,某些課程也給出了視頻演示,指導(dǎo)用戶利用這些漏洞進(jìn)行攻擊。二、WebGoat的安裝We

2、bGoat 可以在網(wǎng)上下載到,運(yùn)行其中的“webgoat_8080.bat”即可。在運(yùn)行前,需要將代理設(shè) 置為 localhost,端口 8008。 在掃瞄器中輸入 http:/localhost:8080/WebGoat/attack 登錄,假如啟動(dòng)了 Webscarab,則在掃瞄器 輸入 http:/localhost.:8080/WebGoat/attack。初始用戶名密碼是 guest。 也可以在WebGoat-5.2tomcatconftomcat-users.xml 修改用戶名與密碼。 也可以在WebGoat-5.2tomcatconfserver_80.xml 文件中修改端口。三

3、、WebGoat的使用3.1 先修課之Http基礎(chǔ)學(xué)問 HTTP(Hypertext transfer protocol)->超文本傳輸協(xié)議,是一種具體規(guī)定了掃瞄器和萬維網(wǎng)服務(wù)器(www)之間相互通信的規(guī)章,通過因特網(wǎng)傳送萬維網(wǎng)文檔的數(shù)據(jù)傳送協(xié)議。運(yùn)行于OSI模型的應(yīng)用層,由懇求和響應(yīng)兩部分構(gòu)成。HTTP協(xié)議是無狀態(tài)的協(xié)議。無狀態(tài)指HTTP協(xié)議對(duì)于事務(wù)處理沒有記憶力。缺少事務(wù)狀態(tài)意味著若后續(xù)處理需要前面的信息,則必需重傳,可能導(dǎo)致每次連接傳送的數(shù)據(jù)量增大?;谑聞?wù)處理的需要,消滅了cookie和session技術(shù)。 在掃瞄器設(shè)置中增加一個(gè) localhost 的代理,然后可以啟動(dòng) Web

4、Scarab。我們需要在“攔截(Intercept)”選項(xiàng)卡中選擇“攔截懇求(intercept request)”。在頁面輸入框中填寫上您的名字(“Your Name”)后,單擊【Go!】按鈕提交數(shù)據(jù)。在 WebScarab 的新窗口中,我們可以找到參數(shù)“person”。3.2 HTTP 拆分攻擊者在向 Web 服務(wù)器正常輸入的懇求中加入惡意代碼,受到攻擊的應(yīng)用不會(huì)檢查 CR (回車,也可表示為%0d 或r)和 LF(換行,也可表示為%0a 或n)。這些字符不僅使攻擊 者把握應(yīng)用程序打算發(fā)送的響應(yīng)頭和響應(yīng)體,而且還使他們能夠完全在其把握下制造更多的 答復(fù)。 HTTP 拆分攻擊協(xié)作緩存污染一起

5、使用,能使效果達(dá)到最大化。緩存污染攻擊的目標(biāo)是 使緩存污染,哄騙緩存,使其信任使用 HTTP 拆分劫持的頁面是一個(gè)很正常的頁面,是一個(gè) 服務(wù)器的副本。攻擊發(fā)生時(shí),使用 HTTP 拆分攻擊,加上最終修改添加的部分:懇求頭,并 設(shè)置它為將來的日期。這將迫使掃瞄器發(fā)送 If  Modified Since 懇求頭,這使攻擊者有機(jī)會(huì) 攔截服務(wù)器的答復(fù),并代之以一個(gè)“304 不修改”答復(fù)。用戶需要使用 LF, %0a 由于輸入內(nèi)容未作驗(yàn)證您可以插入任何 HTTP 語法,回車和換行符。 任憑輸入一個(gè)語言名稱提交看看數(shù)據(jù)都是怎么交互的。請(qǐng)確認(rèn) WebScarab 的懇求攔截 和

6、返回?cái)r截功能已經(jīng)啟用。語言框輸入“en”,并提交數(shù)據(jù)。 3.3 訪問把握缺陷 在一個(gè)基于角色的訪問把握方案中,角色代表了一組訪問權(quán)限和特權(quán)。一個(gè)用戶可以被 安排一個(gè)或多個(gè)角色。一個(gè)基于角色的訪問把握方案通常有兩個(gè)部分組成:角色權(quán)限管理和 角色安排。一個(gè)被破壞的基于角色的訪問把握方案可能允許用戶執(zhí)行不允許他/她的被安排 的角色,或以某種方式允許特權(quán)升級(jí)到未經(jīng)授權(quán)的角色的訪問。先選擇一個(gè)用戶,再選擇一個(gè)資源,然后點(diǎn)擊【Check Access】,消滅頁面如下圖所示:在 Select resource 選項(xiàng)中選中下一個(gè)資源 Time Card Entry,然后是點(diǎn)擊【Check Access】,消滅

7、頁面如下所示:3.4 繞過基于路徑的訪問把握方案在一個(gè)基于路徑的訪問把握方案中,攻擊者可以通過供應(yīng)相對(duì)路徑信息遍歷路徑。因此, 攻擊者可以使用相對(duì)路徑訪問那些通常任何人都不能直接訪問或直接懇求就會(huì)被拒絕的文 件。選中“Choose the file to view”列表下的任何一個(gè)文件,然后點(diǎn)擊【View File】,用 WebScarab 工具截獲向服務(wù)器發(fā)送的懇求,如圖所示:3.5基于角色的訪問把握 在一個(gè)基于角色訪問把握的方案中,角色代表一組訪問權(quán)限和特權(quán)。一個(gè)用戶可以被分 配一個(gè)或多個(gè)角色,一個(gè)基于角色的訪問把握通常包括兩個(gè)部分:角色權(quán)限管理和角色安排。 一個(gè)被破壞的基于角色的訪問把握

8、方案,可能允許用戶以沒有安排他/她的角色或以某種方 式獲得的未經(jīng)授權(quán)的角色進(jìn)行訪問。3.6 小試驗(yàn):客戶端過濾 服務(wù)端只向客戶端發(fā)送其只能訪問到的數(shù)據(jù)。在本課程中,服務(wù)端向客戶端發(fā)送了過多 的數(shù)據(jù),由此產(chǎn)生了一個(gè)嚴(yán)峻的訪問把握問題。通過【Select user】下拉菜單查詢其它數(shù)據(jù)。在有返回?cái)?shù)據(jù)的時(shí)候使用 Firebug 或 WebScarab 查看源代碼或返回?cái)?shù)據(jù)。找到 Neville 的薪水信息。四、總結(jié)收獲不小,以前直接看書,沒有實(shí)戰(zhàn),理解方面差很多,還看不進(jìn)去。有了測(cè)試平臺(tái)后,聯(lián)系實(shí)戰(zhàn),對(duì)于學(xué)問的理解有很大的掛念。課程設(shè)置有點(diǎn)問題,有時(shí)候檢測(cè)通過方法過于單一。由于平臺(tái)是英文,所以順帶熬煉英語了。對(duì)于自己從未接觸過得東西,完成起來問題很大。假如是生疏的學(xué)問,則能很輕松的完成。比如說XML我就沒用過,導(dǎo)致那個(gè)過濾的代碼不會(huì)寫。查了資料,過于片面

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論