WebGoat
alpha.5
还不错
展开
-
WebGoat课程实训01:HTTP基础
引言最近在研究WebGoat技术,由于之前对这个领域所了解的不多,感觉突然发现了另一扇大门。而在进行实战练习时,却困难重重,很多知识点缺失,又缺乏技巧,网上的资料也相对比较少。鉴于此,固有写实训笔记的念头,一方面是自己做个回顾,同时也希望能为那些和我一样在黑夜中摸索前行的爱好者一点点帮助。WebGoat是一个用于讲解典型web漏洞的基于J2EE架构的web应用,他由著名的WEB应用安全研究...原创 2019-01-05 11:58:11 · 471 阅读 · 0 评论 -
WebGoat课程实训02:HTTP代理
HTTP代理是作为信息拦截、收集和篡改等的基本手段。这个课程示例向我们展示了最基本的利用HTTP代理进行信息修改的操作。工具首先代理设置,课程中讲解的很清楚,这里不再赘述。但是处于切换方便,我没有直接在浏览器中设置代理,而是使用了SwitchyOmega.在Chrome浏览器中安装该插件即可使用。安装成功后,我添加了一个代理,这样Chrome浏览器使用的HTTP协议数据都会先通...原创 2019-01-06 11:29:48 · 741 阅读 · 0 评论 -
WebGoat课程实训03:SQL注入
SQL注入也是比较经常发生的攻击行为,到现在,仍有许多不规范的写法导致SQL注入时有发生。关于SQL注入,课程有相关的介绍,详细的知识点可自行搜索。检索所有users练习一:使用‘1’=‘1’恒等式即可,如:Smith’ or 1'='1. 这里注意首位的两个单引号,因为在SQL语句中字符需要用单引号,因此内部已经有一对单引号了,此处就不需要了。正常的语句是:select *...原创 2019-01-14 22:26:04 · 731 阅读 · 0 评论 -
WebGoat课程实训04:SQL注入(高级)——联合查询
这一课程演示了更加高级的SQL注入方式:联合查询. 通过一个查询入口,我们不仅可以查询出当前表的信息,如果我们可以知道(或猜到)其他的表,我们是可以查出更多信息的。示例中告诉了我们另一个系统用户表,因此我们在查Account Info的同时查询user_system_data表就行了。解法一: Union查询注意union查询:查询列数相同;查询类型要兼容。因此我们必须先找出原...原创 2019-01-24 19:59:32 · 521 阅读 · 0 评论