WebGoat——Authentication Flaws(一)

最新推荐文章于 2021-09-10 18:52:31 发布
最新推荐文章于 2021-09-10 18:52:31 发布
阅读量719 收藏
点赞数
分类专栏: WebGoat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lay_loge/article/details/89352800
版权
本文详细介绍了WebGoat平台中的Authentication Flaws教程,包括密码强度测试,忘记密码的安全风险以及基本认证的工作原理。在密码强度部分,强调了密码复杂性和长度的重要性。忘记密码的环节揭示了简单的身份验证机制可能导致的安全问题。基本认证部分解释了HTTP头的授权过程,以及如何利用Burpsuite进行会话管理和认证测试。
摘要由CSDN通过智能技术生成

一、Password Strength 密码强度

(1)题目:
The Accounts of your Webapplication are only as save as the passwords. For this exercise, your job is to test several passwords on https://www.cnlab.ch/codecheck. You must test all 5 passwords at the same time…
web应用程序的账户安全与密码安全保持一致。在本次练习中,你的任务是在网站上此时几个密码的强度。你应当测试以以下5个密码。。。

(2)课程目标
在这里插入图片描述课程主题:
账户安全等同于密码安全。大多数的用户在不同的地方使用相同的弱密码。如果您想保护它们免受暴力攻击,您的应用程序应该对密码有很好的要求。密码应包含小写字母,大写字母和数字。 密码越长越好。
课程任务:
在本次练习中,你的任务是在以下网站测试密码的强度。

(3)操作步骤
1.点击网页,进入网站。
网页一打开显示的是德文,一个字也看不懂,于是换用了谷歌浏览器毕竟谷歌翻译比较强大),翻译之后的网页如图
在这里插入图片描述这就比较尴尬了,然后点击链接进入新网站。
在这里插入图片描述输入一组密码,发现并没有显示密码对应所需的时间。
在这里插入图片描述于是找到WebGoat的Solution,找到对应的时间,填进去。。。
在这里插入图片描述

最低0.47元/天 解锁文章
lay_loge
关注
专栏目录
WebGoat实验之Authentication Flaws(认证缺陷) - 2016.01.09
baishileily的博客
01-09 2300
1.1 Password Strength(密码强度) 密码是账户安全的保障,是我们进行身份认证的凭证, 一旦密码泄露,这就意味着可能会给我们带来很大损失(黑客可以通过我们的账号发布一些虚假信息进而欺骗他人,甚至可以获取我们银行卡密码,进而危及我们的财产安全,还涉及了我们的隐私问题), 然而由于我们的习惯问题,我们常常在不同的站点使用相同的密码,甚至我们喜欢使用一些简单的密码,例如123456,
WebGoat第四关:Authentication Flaws
锐之锋芒
09-20 3427
4-1 Password Strength 本关让你测试密码强度,进入他给的网站,把密码打上,测一下然后把时间填上即可。不过我做的时候用这种方法没有通关,大概是随着计算机处理能力的提高,所用的计算时间变短了,而题目的答案是基于这个project建设时候的密码计算时间,所以过不了。 经验教训:目前应该没有能使用密码词典破解密码的网站了吧,不过即便如此还是使自己的密码复杂一点好。 4-2 For
webgoat——Authentication Flaws认证缺陷总结
qq_43571759的博客
03-17 1739
Authentication Flaws认证缺陷 最近又拾起了webgoat系列,DC系列靶机还在下载中所以来整整这个,这两个系列都会有个大总结,会把自己学到的一些东西写下来分享(即使没什么人看),CSDN这个平台也帮助到我很多,在这个平台可以学到很多东西(真心佩服那些大牛)。 Password Strength 利用提供的网站来验证密码,这里是想让我们意识到强密码和弱密码的安全强度不同,虽然这...
WebGoat--Authentication Flaws-Basic Authentication 感想
oh~yeah~
10-23 700
课程概念的的确确讲了关于基本认证的过程。客户端开始请求时
WebGoat——Authentication Flaws(二)
lay_loge的博客
04-17 479
四、Multi Level Login 1 (1)题目: STAGE 1: This stage is just to show how a classic multi login works. Your goal is to do a regular login as Jane login works. Your goal is to do a regular login as Jane wit...
Webgoat中文使用手册v2.2
03-01
WebGoat不仅是一款教育工具,也是一个持续发展的项目,依赖于社区的贡献和支持。手册的更新和修订记录反映了项目的发展历程,从最初的翻译到后续版本的测试和发布,都是由一支充满热情的团队协作完成的。参与者名单...
Webgoat--Authentication Bypasses
hee_mee的博客
06-13 1258
ZeroNil
Webgoat 笔记总结-Authentication flaws
weixin_34122810的博客
10-02 149
Authentication flaws 认证缺陷 密码强度 登录网站https://www.cnlab.ch/codecheck. 测试密码破解时间 答案 Forgot Password 原理:利用这个认证密码找回的提问,且提问答案单一性的缺陷,测试出用户的密码。 为了方便早就测试好的认真答案,依次输入red yellow green。 ...
webgoat
03-16
WebGoat:故意不安全的Web应用程序 重要信息 WebGoat课程服务器当前处于主要开发阶段。 从2016年2月1日起,版本“ 7.0.1”被视为主要体系结构和UI更改的第一个STABLE版本。 WebGoat的旧版/旧版可以在以下找到: WebGoat是由维护的故意不安全的Web应用程序,旨在教授Web应用程序安全性课程。 该程序演示了常见的服务器端应用程序缺陷。 这些练习旨在供人们用来学习应用程序安全性和渗透测试技术。 警告1:在运行该程序时,您的计算机极易受到攻击。 使用此程序时,应断开与Internet的连接。 WebGoat的默认配置绑定到本地主机,以最大程度地减少暴露。 警告2:此程序仅用于教育目的。 如果未经授权尝试使用这些技术,很可能会被抓住。 如果您被发现从事未经授权的黑客攻击,大多数公司都会开除您。 声称您正在进行安全性研究不会奏效,因为这是所有黑客都宣称
webGoat7.1
08-01
包含了webGoat源码 , 执行maven命令, 即可生成部署的war包或者jar包
WebGoat-5.2
11-20
文件被分卷解压,请在我的资源页搜索WebGoat-5.2.z01、WebGoat-5.2.z02同时下载,放入同一文件夹。
webgoat7.1
05-17
webgoat安装包,安装jdk后可直接安装,还有war包。带有简单安装介绍
WebGoat (A2) Broken Authentication -- Authentication Bypasses (认证绕过)
箭雨镜屋
03-07 1496
目录 一、奇怪的闯关 二、糊涂的代码 三、简单的脑图 一、奇怪的闯关 这道题的目的是绕过对安全问题的验证,获得修改密码的权限。 像上图这样随便乱填两个框,submit之后,burpsuite抓到下面这个报文,把这个报文send to repeater 由于这一页的题目上面举了个例子,是删掉secQuestion0和secQuestion1两个参数就可以的,所以一开始我以为这题也这么操作就好了。但实际上这样操作是要报错的,像下图这样。 既然不能删除,那应该有其他诡异。既然secQu
WebGoat8 M17 Authentication Bypasses
伊维泽诺流浪记
03-24 572
Authentication Bypasses 把两个问题的参数名里的数字改一下,随便改参数名不行 看了一下源码,是因为源代码里有个判定: 如果参数名包含"secQuestion",则将参数名作为userAnswers的key,参数值作为value存入。但是没有判定参数名后面的数字是否原先设置好的数字,所以给了我们可乘之机。 ...
WebGoatAuthentication Bypasses关卡源码解析
weixin_48170459的博客
09-10 462
在做这一道题的时候发现当我们把两个变量从命名后就可以bypass了,如下图所示 但是不知道原理是什么,所以从github下载源码,来审计一下。 https://github.com/WebGoat/WebGoat/releases/tag/v8.2.1 定位到该模块的位置,第一个是账号验证功能模块,第三个是验证账号模块,我们打开第三个,定位到收到请求后的响应模块 首先创建了AccountVerificationHelper对象,接下来调用了parseSecQuestions方法 可以看到parse.
搭建WebGoat工作区指南
"这篇文档是关于如何创建WebGoat的工作空间的指南,主要针对的是WebGoat项目,一个专门用于教学网络安全的模拟靶场。它提供了详细的步骤来配置开发环境,包括Eclipse集成开发环境(IDE)的设置,以及与Apache Tomcat...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值