【WebGoat笔记】之一 --- WebGoat安装,访问与Firebug的使用

最新推荐文章于 2024-05-04 21:01:28 发布
最新推荐文章于 2024-05-04 21:01:28 发布
阅读量655 收藏
点赞数
分类专栏: 安全 文章标签: firebug firefox 浏览器 工具 security 脚本
 

主要内容:

WebGoat的安装(略),内部访问方法与后续需要使用的Firebug的一些功能

一.WebGoat安装(略)与访问

二.浏览器推荐使用Firefox

(1)FireBug安装

(2)定位查看页面元素

(3)Js调试

 


一.WebGoat安装(略)与访问

访问方式:

先配置host: xx.xx.xx.xx hacker.qq.com

访问URL:http://hacker.qq.com:8080/webgoat/attack

用户密码和密码是: guest/guest

二.浏览器推荐使用Firefox

在完成WebGoat的任务时,会有修改页面元素的部分,FireBug是个很不错的工具,可以助你早日通关,下面介绍下FireBug中之后我们会用到的几个功能

(1)FireBug安装

点击工具->附加组件打开组件管理器

clip_image004

获取附加组件中搜索FireBug,点击安装即可

clip_image006

打开FireBug,下面标记的是我们重点将用到的三个按钮

clip_image008

(2)定位查看页面元素

当我们激活”查看页面元素”按钮的时候,鼠标在页面移动时会有一个蓝色的框高亮显示当前鼠标所在元素,相应的下面HTML栏里面会在DOM树里面找到该元素所在位置,如下图所示

clip_image010

找到该元素后,点击左键确认,释放” 查看页面元素”按钮功能,这时我们就可以在HTML栏里面修改该元素的值

比如我要把” How To Work With WebGoat” 修改成 “Welcome to Paipai”

点击clip_image012,输入clip_image014

查看页面,应该是即时生效了clip_image015

(3)Js调试

注意上图中,脚本项要设置为”启动”

clip_image008[1]

在这里我们用WebGoat中的一个实例来显示这个功能

实例位置:AJAX Security 下面的 Insecure Client Storage

目标:用户输入一个coupon后点击”Purchase”,前台Js会验证code的有效性,我们要通过修改Js运行时的变量值跳过这个检查~

clip_image017

使用” 查看页面元素”工具查看coupon code输入框,发现提交时,验证coupon code的js函数是javascript/clientSideValidation.js中的isValidCoupon(field1.value)函数

clip_image019

我们选中脚本栏,选择javascript/clientSideValidation.js文件,就可以找到isValidCoupon函数,或者在右侧的搜索框中直接输入isValidCoupon也可以查找到isValidCoupon函数

clip_image021

查看isValidCoupon函数,可以发现下图红框处就是判断coupon code是否合法的关键代码行了,在行数左侧点左键,设置一个断点

clip_image023

在coupon code的输入框内输入任何一个字母:

clip_image025

这时激活了onkeyup事件,调用isValidCoupon,程序运行到我们设置的断点处

clip_image027

可以看到我们输入的是coupon = 1

把鼠标放到变量decrypted上,显示decrypted = “PLATINUM”

要是函数返回ture,我们需要coupon == decrypted成立,所以我们在右边的监控栏中把coupon的值改成PLATINUM

clip_image029

鼠标移动到coupon上看看coupon的值已经被修改,点击运行按钮,通过~

cqf539
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
webgoat-server-8.2.1
09-02
webgoat-server-8.2.1
webGoat目录访问控制路径
m0_61506558的博客
09-28 381
我们要想成功得到webshell,需要改变文件的传输路径,本次使用webGoat进行简单练习,掌握几种简单的绕过方式。
WebGoat学习笔记---AJAX Security
real14
11-22 1998
l  LAB:DOM-Based cross-site scripting 题目叫我们用WebGoat/images/logos/owasp.jpg 图片来污染网页 可以看到当我们在文本框中出入字符后网页会立即显示输入的字符,所以我在文本框中输入如下的html代码,提交后STAGE1完成 Stage2: 文本框中输入 Stage3: 在文本框中输入 " Stage4:
WebGoat笔记】之二 --- Access Control Flaws
cqf539的专栏
08-16 1008
主要内容: Access Control Flaws 访问控制缺陷,这个栏目下的Bug属于将业务的关键逻辑放在了前台,而后台也没有作相应的校验,导致用户可以通过修改前台页面,跳过验证逻辑操作后台数据 Using an Access Control Matrix B
Webgoat 笔记总结-AJAX Security
weixin_34198583的博客
10-02 266
AJAX Security AJAX即“Asynchronous JavaScript and XML”(异步JavaScript和XML),AJAX并非缩写词,而是由Jesse James Gaiiett创造的名词,是指一种创建交互式网页应用的网页开发技术。 AJAX 指异步 JavaScript 及 XML(Asynchronous JavaScript And XM...
WebGoat笔记
tzh2009的专栏
06-19 3243
文章来源:http://www.cnblogs.com/jonniexie/category/250726.html 主要内容:WebGoat安装(略),内部访问方法与后续需要使用Firebug的一些功能一.WebGoat安装(略)与访问二.浏览器推荐使用Firefox(1)FireBug安装(2)定位查看页面元素(3)Js调试 
2018-2019-2 《网络对抗技术》Exp9 WebGoat 20165326
weixin_30790841的博客
05-21 67
Web安全基础 jar包,密码:9huw 实验问题回答 SQL注入攻击原理,如何防御 原理:恶意用户在提交查询请求的过程中将SQL语句插入到请求内容中,同时程序本身对未对插入的SQL语句进行过滤,导致SQL语句直接被服务端执行。 防御: 限制查询长度 限制查询类型(权限) 过滤非法字符 正则表达式过滤传入参数 预编译语句集PreparedStatement XSS攻击的原理,如何防御 ...
Webgoat学习笔记1
weixin_33895475的博客
03-25 222
注: 使用webgoat5-2版本,在我的下载有 webscarab为webscarab-selfcontained-20070504-1631.jar,直接在官网下也可以,github上好像是 【Access Control Flaws】 Using an Access Control Matrix(权限控制矩阵) 题目翻译就是:基于角色控制的访问机制,如果设置不得当,呵呵,就...
WebGoat学习笔记(三)——Code Quality
走走停停
11-11 563
<br />有些html源码中会无意中包含一些类似于FIXME's, TODO's, Code Broken, Hack的信息,对于渗透有帮助,但是这一部分被注释的内容在firebug中的html代码中是看不到的,所以在firebug的基础上,源码也是需要check的,在没有头绪的时候,有可能GetSth。
webgoat-server-8.0.0.M21.zip
07-18
webgoat-server-8.0.0.M21版本,测试网站漏洞等使用
webgoat-server-8.0.0.M17
09-02
webgoat-server-8.0.0.M17
webgoat-standalone-7.1-SNAPSHOT-exec.jar
11-05
java -jar webgoat-standalone-7.0.1-exec.jar [-p | --p ] [-a | --address ] Using the --help option will show the allowed command line arguments. 更多查看: https://github.com/WebGoat/WebGoat
owasp-webgoat-dot-net-docker:用于运行OWASP WebGoat.NET应用程序的Docker容器
05-16
使用Docker容器所需的软件码头工人使用容器的步骤docker run --name webgoat -it -p 9000:9000 -d appsecco/owasp-webgoat-dot-net 然后导航到以访问OWASP WebGoat.NET应用程序第一次,我们必须通过提供sqlite的路径...
Nginx(搭建高可用集群)
Sun的个人博客
05-04 821
注意:这里由于tomcat1在主Nginx上,一旦主Nginx崩溃,则这个tomcat就不可用,所以才需要在从Nginx也搭建一份,如果部署在独立主机上就不需要,就像这个tomcat2。
node-v4.8.6-win-x64.zip
05-07
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
基础运维技能(下)md格式笔记
最新发布
05-07
基础运维技能(下)md格式笔记
node-v8.1.2-linux-armv7l.tar.xz
05-07
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
webgoat war
11-15
WebGoat是一个用于测试Web应用程序安全性的开源平台,而WebGoat war是WebGoat的一个特定版本,它可以允许用户在本地或者服务器端进行单独的安全测试。通过使用WebGoat war,用户可以模拟实际的网络攻击和漏洞利用,以便更好地了解Web应用程序的安全性和弱点。它提供了各种实际案例,并提供了相应的解决方案和案例研究,使用户能够学习如何保护他们的Web应用程序免受各种安全威胁。 WebGoat war的使用适用于各种使用场景,从单个开发人员的本地测试到团队合作的服务器端测试。这使得用户能够根据他们的具体需要来选择最适合的测试环境,并可以随时根据需要进行调整。 总的来说,WebGoat war是一个非常有用的工具,能够帮助用户更好地了解Web应用程序的安全性,并且提供了丰富的实践案例和解决方案,可以帮助用户提高他们的网络安全意识和技能。通过使用WebGoat war,用户可以更好地保护他们的Web应用程序免受各种安全威胁,从而保护自己和他们的用户的利益。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值