网络安全之WebGoat
文章平均质量分 80
baishileily
小小菜鸟带你飞
展开
-
WebGoat之HTTP Spliting(拆分)过程及总结分析 - 2016.01.02
HTTP Spliting拆分攻击过程及原理详解原创 2016-01-02 20:11:07 · 1891 阅读 · 0 评论 -
WebGoat实验之Denial of Service(拒绝服务)- 2016.01.09
Denial of Service(拒绝服务),这恐怕是网络上最头疼的一个问题了吧,既要保证正常用户的访问不能受到限制,又要保证服务的正常执行,可是试问正常用户和异常用户的访问判断谈何容易。 分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成原创 2016-01-09 15:47:44 · 1385 阅读 · 0 评论 -
WenGoat实验之Inptoper Error Handling(错误处理不当)- 2016.01.09
Fail Open Authentication Scheme(打开认证失败方案),有时候我们在服务端接受客户端数据的时候并没有判断这个参数是否存在就对其直接使用,这是很不安全的,因为往往会由于参数的缺少而引发意外的异常,这也是我们对错误处理 不当而导致的(我们应该在对所有可能的错误都判断完之后再给出验证结果,否则存在验证结果为 true吗,但是程序意外出错的情况)。 这个实验原创 2016-01-09 15:39:33 · 572 阅读 · 0 评论 -
WebGoat实验之Concurrency(并发)- 2016.01.09
Concurrency(并发),说的简单点就是多个程序的执行流同时执行,其实同时只是我们更直观的说法罢了,因为程序的执行是与时间片的大小相关的,而多个程序之间的交替执行可以提高CPU的利用率,使得我们看起来多个程序好像同时在执行一样,我们将这种现象或者行为称之为并行。不难发现,多个程序交叉执行,在下面我们都以并发而言,那么就会存在资源的竞争问题,而且多个执行流执行的顺序将是无法判断的,这往往会导致原创 2016-01-09 13:53:23 · 688 阅读 · 0 评论 -
WebGoat实验之Authentication Flaws(认证缺陷) - 2016.01.09
1.1 Password Strength(密码强度) 密码是账户安全的保障,是我们进行身份认证的凭证, 一旦密码泄露,这就意味着可能会给我们带来很大损失(黑客可以通过我们的账号发布一些虚假信息进而欺骗他人,甚至可以获取我们银行卡密码,进而危及我们的财产安全,还涉及了我们的隐私问题), 然而由于我们的习惯问题,我们常常在不同的站点使用相同的密码,甚至我们喜欢使用一些简单的密码,例如123456,原创 2016-01-09 10:04:27 · 2286 阅读 · 0 评论 -
WebGoat实验之Buffer Overflow(缓冲区溢出)- 2016.01.08
Buffer Overflow(缓冲区溢出),这已经是一个老生常谈的话题了,不仅在软件的制作上回出现这样的问题,其实在网络上也存在这样的问题。更准确的说应该是在有用户输入的地方都存在缓冲区溢出的可能性。那么什么是缓冲区溢出呢?百度是这么说的“计算机程序一般都会使用到一些内存,这些内存或是程序内部使用,或是存放用户的输入数据,这样的内存一般称作缓冲区。溢出是指盛放的东西超出容器容量而溢出来了,在计算原创 2016-01-08 23:57:43 · 2187 阅读 · 0 评论 -
WebGoat实验之Code Quality(代码质量)- 2016.01.08
Code Quality(代码质量),这是一个很模糊也很抽象的概念,什么叫做代码质量?在一个安全家的眼里,或者更直白的说在一个黑客的眼里,我想可能就不能等同于代码风格、运算效率,更多的可能是从是否有安全漏洞和是否做好了安全控制(这个方面包含的内容更多,而这个实验呢则仅仅从一个小小的视角,即:在代码中是否泄漏敏感或者重要的信息)等方面进行考虑。 这个实验的内容大概是这样的:一个站点的开发往往不是个原创 2016-01-08 23:31:11 · 1316 阅读 · 0 评论 -
访问控制缺陷之WebGoat练习 - 2016.01.06
访问控制的方案很很多种,有基于角色的也有基于路径的。他们的基本原则都是根据用户的不同身份为用户划分等级,同样对可用资源也划分等级,进而根据用户的等级限制用户的对资源的访问。而现实网络中的访问控制却往往存在各种各样的控制缺陷。例如,我们将在下面提到的绕开基于角色的访问控制,进而获取我们想要查看的信息;绕开基于路径的访问控制,进而访问我们不能访问的资源。 为什么会存在这样的问题,又怎原创 2016-01-06 22:51:15 · 1264 阅读 · 0 评论 -
WebGoat之HTTP BASICS(客户端与服务器端的交互方式)-2016.01.02
HTTP BASICS B/S(浏览器和服务器模式的简单介绍)客户端请求和服务端响应数据包的详解 B/S模式,简答的说包括客户端请求和服务器端响应;客户端以一定格式向服务器端请求所需数据,服务器端同样以一种规定的格式返回给客户端所需数据。接下来我们可以分析一下客户端请求。在WebGoat的HtppBasics里面,我们在搜索输入框中输入“hahaha”,然后点击提交,在Webscarab中我们会捕获如下内容,这就是我们客户端发原创 2016-01-02 14:50:45 · 1434 阅读 · 0 评论 -
WebGoat实验环境搭建 - 2016.01.01
Webgoat是OWASP组织研究出的一个专门进行web漏洞实验的应用品台,这个平台里包含了web中常见的各种漏洞,例如:跨站脚本攻击、sql注入、访问控制、隐藏字段、Cookie等;OWASP(Open Web Application Security Project)是一个非营利的组织,它的目的是帮助个人和企业来发现和使用可信赖的软件。 Wenscarab,Firefox,Chrome浏览器代理设置,Firefox代理设置,IE代理设置原创 2016-01-01 14:26:44 · 10487 阅读 · 0 评论 -
WebGoat实验之Cross-Site Scripting(XSS,跨站脚本攻击)- 2016.01.09
XSS(Cross-Site Scripting)跨站脚本攻击,由于 html 和 js 都是解释执行的,那么如果对用户的输入过滤不够严格或者说不严格处理,那么当用户也输入一些 html 或者 js 的并被浏览器再次加载的时候也是可以被浏览器解释执行的。那么对于一些博客、贴吧等存在用户输入、又存在游客查看评论的地方,做好用户输入的过滤就很有必要。那么 XSS 能干什么呢?不仅可以用来进行钓鱼攻击,原创 2016-01-09 16:10:30 · 4826 阅读 · 0 评论