一、Code Quality 代码质量
1.题目:
Below is an example of a forms based authentication form. Look for clues to help you log in.
以下是基于认证登录表单中的一个代表,尝试着寻找蛛丝马迹以帮助你的登录。
2.课程目标:
课程标题:如何从html源码中发现线索
课程主题:开发人员因将TODO,Code Broken,Hack等语句留在源代码中而臭名昭着。 查看源代码,来寻找注释中表示密码、后门、或者其他不能正常工作的部分。
课程目标:用户应该能够绕过认证检查。
3.操作步骤:
这一课程主要为了强调开发人员在代表撰写中存在的代码质量不高的问题,常会出现程序员账号密码、后门等信息留在源码注释中的现象,因此本课程可以通过查看网页源代码来解决。
(1)打开火狐浏览器的web开发者选项,查看网页源代码。
(2)找到代码中的如下注释内容:
(3)于是,对应的账号输入:admin,密码输入:adminpw
二、Concurrency 并发——Thread Safety Problems 线程安全问题
1.题目:
The user should be able to exploit the concurrency error in this web application and view login information for another user that is attempting the same function at the same time. This will require the use of two browsers. Valid user names are ‘jeff’ and ‘dave’.
用户应该能够