【详解】webgoat Web渗透测试平台General单元 攻略

最新推荐文章于 2024-05-31 15:59:54 发布
最新推荐文章于 2024-05-31 15:59:54 发布
阅读量1.4k 收藏 7
点赞数 2
文章标签: 信息安全 http https 渗透测试 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50012220/article/details/119489428
版权

一、什么是webgoat?

WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上,当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效、危险的HTML注释等等。WebGoat提供了一系列web安全学习的教程,某些课程也给出了视频演示,指导用户利用这些漏洞进行攻击。

webgoat的安装请见:https://blog.csdn.net/weixin_50012220/article/details/119209336

二、General:

2.1 HTTP Basics

这个模块介绍了浏览器和 Web 应用程序之间的数据传输以及如何使用 HTTP 代理捕获请求/响应的基础知识。

2.1.1 TRY IT!

题目:

 本题带我们了解服务器接受请求并翻转用户输入字符,以此说明HTTP请求的基础知识。

随便输入一个字符串即可,such as...我输入的是m0nh1n

 2.2 The Quiz

题目是:

题目问这个题采用了GET方式还是POST方式,通过观察法(滑稽)无法直接得到答案,

根据信息安全的知识我们了解burpsuite可以得到这些信息,那么我们来抓一下,先蒙一个GET 666进去看下

通过抓包了解到这个magic_num是34  http请求方式是POST,首次提交的答案都完美的绕开了正确答案,我们再提交一次

Congratulations!

 2.2 HTTP Proxies

介绍了HTTP的代理。HTTP Proxies位于您的客户端和客户端正在与之通信的服务器之间。 您可以记录和分析请求和响应。,您还可以使用代理 修改(篡改)请求和响应; 代理还具有自动或半自动功能,可让您提高测试和分析网站的安全性。

有很详细的步骤介绍OWASP的渗透测试工具:ZAP

楼主kali内置burpsuite,就没安,上题目~

2.2.1 Intercept and modify a request

本题要求:①、改变请求方式为GET;②、加一个请求头;③、改掉包里面的内容

burpsuite做法:

首先发个包,然后抓住(doge)

修改的两处地方如图所示,改成:

forward一下,congratulations!

 2.3 Developer Tools

本模块主要介绍了开发人员工具的菜单以及简单的应用

2.3.1 Try It! Using the console

题目:

 本题主要考察开发人员工具中控制台的应用

打开控制台,直接输入命令   webgoat.customjs.phoneHome()  即可

控制台指令反馈如下:

复制粘贴即可得到congratulations!

 2.3.2 Try It! Working with the Network tab

本题主要考察开发人员工具中 Network Tab的使用,点击Go按钮后,读取 Network Tab里面的数据即可。我们点击Go,然后打开Network Tab

随着时间的增加,栏目也越来越多,我们看哪一个好呢?题目中有提示 Try to find the specific HTTP request.可以看到有个POST方法很突兀,我们点进去,在参数里面得到:

提交上去,congratulations!

2.4  The CIA Triad

本模块主要讲了信息安全三大模型:机密性、完整性、可靠性。

题目也较为简单,几个选择题

2.4.1 Chosen

1.Solution 3: By stealing a database where names and emails are stored and uploading it to a website.

把数据库中的敏感文件并上传到网站,即破坏了  保密性的原则

2.Solution 1: By changing the names and emails of one or more users stored in a database.

 更改数据库中的敏感信息,即破坏了数据的完整性的原则

3. Solution 4: By launching a denial of service attack on the servers.

对服务器发起ddos,无法访问,即破坏了可靠性原则

4.Solution 2: The systems security is compromised even if only one goal is harmed.

即使只有一个目标(三项原则之一)受到损害,系统安全也会受到损害。正解。

最后提交,congratulations!

结语,以上就是webgoat general篇的全部攻略,各位师傅如果有不明白的地方欢迎在评论区提及或者小窗私聊~

Powered By M0nH1N

M0nH1N
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
WebGoat讲解
03-15
webgoat讲解
WebGoat教程解析
05-09
WebGoat里面关于会话劫持(Hijack a Session)这个课程的标准答案里面除了使用WebScarab以外还使用了其他的工具来找出合法的SessionID以完成这个课程,实际上这个课程完全可以只使用WebScarab来完成。
WebGoat General HTTP Basics
箭雨镜屋
02-18 843
今天上班第一天orz来个简单的 GeneralHTTP Basics这关用burpsuite很简单的,但本着每天学点新东西(就算是很简单,但是没用过)的精神,这关我打算用chrome的开发者工具来过。 有三种方式可以打开chrome的开发者工具: (1)快捷键(windows是ctrl+shift+I,macos是option+command+I) (2)右键--检查 (3)右上角菜单--更多工具--开发者工具 第2页 这关按照提示随便输入点什么,按Go!就可以过了 第3页 主要就是
WEB攻防-JAVAWEB项目常见漏洞
最新发布
weixin_45534587的博客
05-31 929
1.JavaWeb常见安全及代码逻辑2.目录遍历&身份验证&逻辑&JWT3.访问控制&安全组件&越权&三方组件本篇主要了解以上问题在javaweb中的呈现,第一个重点理解URL与javaweb代码框架的对应方式,java在没有代码的情况下是很难渗透的,下面的内容也是针对白盒的第二个重点是JWT身份验证/攻击。
WebGoat General Crypto Basics
箭雨镜屋
02-21 3183
第2页 这一页是讲base64编码和Basic Authentication的 简单来说Basic Authentication中使用了base64编码,以本页的题目举例,如果有个HTTP头长这样 Authorization: Basic ZmFuY3llbGU6c2VjcmV0 那这个网站就是用了Basic Authentication,并且ZmFuY3llbGU6c2VjcmV0就是base64编码的用户名和密码,格式是 用户名:密码 网上随便找个base64解码器解码,或者用.
WebGoat--general+Access Control Flaws
小英雄颂人头
03-08 374
WebGoat是基于WEB实验漏洞的Java靶场程序,跨站点脚本攻击(XSS),访问控制,线程安全,操作隐藏字段,操纵参数,弱会话cookie,SQL盲注,数字型SQL注入,字符串型SQL注入,web服务、Open Authentication失效,危险的HTML注释等 0xx1 General HTTP相应 主要是了解HTTP提交,输入框输入之后点击提交就行 HTTP拆分 判断,重...
WebGoat漏洞测试平台分析.zip
03-12
WebGoat漏洞测试平台分析
webgoat渗透测试攻略
08-30
webgoat相信大家都知道是一个非常好的渗透测试教学平台,这个文档为本人原创,总结了一些过关过程中的思路以及心得
WebGoat漏洞测试平台分析.pdf
06-19
WebGoat漏洞测试平台分析。phpStudy+Mysql。
web渗透环境WebGoat和DVWA
06-24
web渗透环境WebGoat和DVWA,详情见https://blog.csdn.net/qq_32261191/article/details/80338091和https://blog.csdn.net/qq_32261191/article/details/80793823
WEB渗透测试入门.rar
03-07
WEB渗透测试入门】 在网络安全领域,Web渗透测试是一种评估Web应用程序安全性的重要方法。它涉及到模拟恶意黑客的行为,以发现并修复潜在的安全漏洞。对于初学者来说,掌握Web渗透测试的基本概念和技术是至关重要...
WebGoat使用说明
06-21
网络攻防课程教材,中文版的webgoat使用说明
WebGoat使用方法总结整理
05-17
WebGoat使用方法总结整理,
Webgoat学习笔记.zip
03-12
Webgoat学习笔记
webgoat学习笔记——General
weixin_33698043的博客
02-10 374
Part one:Http Basics 这个部分需要用到WebScarab插件,此插件需要设置代理,HTTP代理:localhost,端口:8008,原先我是在win7系统上装的webgoat,这就需要在浏览器中设置代理,现在我在虚拟机中安装了owasp的系统,将webgoat以及所需的插件都集成在系统中了,用起来很方便,这个只需要启用代理服务器WebScarab...
Webgoat渗透环境-General
qq_43681802的博客
02-03 582
# OWASP靶机–webgoat环境(General练习) 提示:本文记录学习webgoat渗透环境过程,首先要下载OWASP系统,参考前面的文章进行下载和安装。在浏览器中访问OWASP的ip地址进行访问 文章目录# OWASP靶机--webgoat环境(General练习)前言一、HTTP基础知识二、HTTP练习1.HTTP响应2.HTTP拆分什么是HTTP拆分?HTTP拆分过程总结 前言 WebGoat是OWASP组织研制出的用于进行web漏洞实验的Java靶场程序,用来说明web应用中存在的安全
WebGoat介绍
tony的专栏
04-17 2647
WebGoat 项目简介: WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上,当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、O
WebGoat通关详解
chengede98的博客
03-22 1282
通过完成WebGoat的通关过程,用户可以全面提升自己在Web安全领域的知识和技能水平。因此,我们鼓励更多的用户参与到WebGoat的学习中来,共同为构建一个更安全的Web环境贡献力量。这有助于用户了解自己的学习进度和需要改进的地方。因此,用户需要保持学习和实践的态度,不断更新自己的知识和技能。除了完成WebGoat的练习外,用户还可以关注最新的安全动态和技术趋势,参与相关的安全活动和项目实践。参考文档和社区资源:如果遇到难以解决的问题或需要进一步的帮助,用户可以参考WebGoat提供的文档和社区资源。
OWASP WebGoat---安全测试学习笔记(十五)---恶意执行
光明矢的专栏
10-24 1232
主题:恶意执行 1.恶意文件执行 注:
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

M0nH1N

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值