Web 漏洞训练平台学习笔记(webgoat & juice shop)

最新推荐文章于 2024-04-29 21:35:15 发布
VIP文章 最新推荐文章于 2024-04-29 21:35:15 发布
阅读量999 收藏 5
点赞数
文章标签: 前端 学习 docker 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51194266/article/details/124717120
版权

Web 漏洞训练平台

实验目的

  • 了解常见 Web 漏洞训练平台;
  • 了解 常见 Web 漏洞的基本原理;
  • 掌握 OWASP Top 10 及常见 Web 高危漏洞的漏洞检测、漏洞利用和漏洞修复方法;

实验环境

  • WebGoat / Juice shop
  • kali 2021.2

实验要求

  • 每个实验环境完成不少于 5 种不同漏洞类型的漏洞利用练习
  • (可选)使用不同于官方教程中的漏洞利用方法完成目标漏洞利用练习
  • (可选)最大化 漏洞利用效果实验
  • (可选)定位缺陷代码
  • (可选)尝试从源代码层面修复漏洞

WebGoat环境准备

  • 在kali上装docker建议看看这个,黄大的实验准备,免得像我一样因为课程之前下了其他版本的docker而死活搞不定compose up

    Linux谁都能参一脚搞得不同发行版之间的包乱糟糟的,以前都是听人吐槽,谁知道有天落自己头上了

  • 查看docker状态sudo systemctl status docker

  • 安装docker与docker-compose apt-get update && apt get install docker.io python3-pip pip3 install docker-compose

  • 新建工作目录并切换至工作目录mkdir workspace && cd workspace/

  • 开启docker服务 systemctl start docker

  • 下载课程所需漏洞练习环境 git clone https://github.com/c4pr1c3/ctf-games.git --recursive

  • 切换到相应目录下cd ctf-games/

  • 单独更新子模块 git submodule init && git submodule update

  • 启动 webgoat 系列服务 cd owasp/webgoat/ && docker-compose up -d

友情提示,之前要是像我一样是傻乎乎的不管啥版本号不版本的就随便乱装了docker,可以用sudo apt-get remove docker docker-engine docker.io卸载docker再重装……据我重装的信息显示,随便搞的和好好整的这两者之间差了150MB左右

再友情提示,别用阿里云的源 (¬_¬ ) 中科大或者清华的都行,不然你会在compose up的时候卡在3d725b7d6111这个包上死活下不了就是不停retry

  • 查看当前容器状态是否正常 docker ps,确保是healthy

在这里插入图片描述

http://127.0.0.1:8087/WebGoat/login for webgoat 7.1

http://127.0.0.1:8088/WebGoat/login for webgoat 8

sudo lsof -i 4 -P -n -L [| portcode_like_8080]查看当前端口占用情况[或特定端口占用情况]

关于firefox原生代理管理不能走到burpsuite上的问题,在后面会有讲解。谁知道搞个环境就花了我几个小时呢…真的是能踩的坑都踩完了

实验过程

WebGoat 8.0

General
HTTP Basics
  • 提示还是挺明显的,问题是这是POST还是GET报文以及magic number,F12查看报文,发现是POST,数字则直接在前端搜索一下magic就好了

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

​ 点击"Go!",提示你已经解决了这个问题

看到这

最低0.47元/天 解锁文章
Beethen Tang
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
先电比赛docker部分习题视频
12-23
先电比赛docker部分习题视频
OWASP Juice Shop 学习
weixin_43838889的博客
04-17 1527
OWASP Juice Shop 学习 三 解锁 Zero Stars ★ 解锁 Zero Stars ★ 打开侧边菜单 - > Customer Feedback,显示用户反馈页面表单。 打开Burp Suite Professional ,点击 Proxy -> Intercept -> Open Browser,打开内置浏览器。 在内置浏览器打开 http://192.168.31.203/#/contact ,Burp会截取每个浏览器会话请求,这时 Forward 按钮可用,
WebGoat习题解析】AJAX Security->Insecure Client Storage
weixin_30670151的博客
12-26 218
绕过前端验证可以通过两种办法:一是利用开发者工具进行debug;二是利用burpsuite直接抓取。本题解决思路如下: STAGE 1: For this exercise, your mission is to discover a coupon code to receive an unintended discount. 1、进入AJAX Security->Insecure Cl...
OWASP Juice Shop 学习
weixin_43838889的博客
04-28 472
OWASP Juice Shop 学习 九解锁 Admin Section (Access the administration section of the store.) 解锁 Admin Section (Access the administration section of the store.) 在搜索里,搜索下面的html内容,解锁 Bonus Payload。 <iframe width="100%" height="166" scrolling="no" frameborder
靶场Juice-Shop学习
个人博客
02-19 9648
靶场Juice-shop学习 1.安装 使用docker安装juice-shop docker pull bkimminich/juice-shop docker run --rm -p 3000:3000 bkimminich/juice-sop 浏览器访问http://localhost:3000即可,在右上角可以切换语言 教程参考juice-shop 使用工具:burpsuite 、owasp zap、exiftool、OpenStego、race-the-web等 2. 一星 ⭐️ Score B
WebGoat-8.2.2版靶机学习总结
宇华的博客
03-26 3853
WebGoat
6.4 Web安全漏洞学习平台WebGoat的使用
qq_55202378的博客
08-14 3215
webgoat JDK
web漏洞练习平台ZVulDrill
AmyBaby00的博客
10-09 991
网络安全学习笔记,仅限学习交流 不得利用、从事危害国家或人民安全、荣誉和利益等活动 URL:http://127.0.0.1/zv/ 1、SQL注入 输入1’ 报错 说明’ 单引号闭合,存在sql注入漏洞 构造sql语句,最终爆出数据库 验证思路: SQL注入,使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。 修复建议:屏蔽SQL语句...
Web漏洞练习靶场推荐——LKWA Docker版本
微风飘呀飘
05-31 3362
最近在发现了一个不错的Web漏洞练习靶场——LKWA 它包含了八种Web漏洞: Blind RCE XSSI PHP Object Injection PHP Object Injection via Cookies PHP Object Injection (Object Reference) PHAR Deserialization SSRF Variables variable 项目地址: https://github.com/weev3/LKWA 部署方法: # Clon
网络安全 | 使用WebGoa用于进行web漏洞实验
Tinywan
04-17 365
简介 WebGoat是OWASP组织研制出的用于进行web漏洞实验的Java靶场程序,用来说明web应用中存在的安全漏洞WebGoat运行在带有java虚拟机的平台之上,当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authenticati...
webgoat7.1
05-17
webgoat安装包,安装jdk后可直接安装,还有war包。带有简单安装介绍
webgoat实验
11-20
webgoat 是一个漏洞百出的网站,可以在上面模拟web攻击实验
webgoat-container-7.1-exec.jar
08-30
WebGoat是OWASP(Open Web Application Security Project)开发的用于Web漏洞演示与验证的平台。该平台包含了访问控制、AJAX安全、认证失效、缓冲区溢出、代码质量、并行性、XSS、不正确的错误控制、注入缺陷、DoS、不安全的通信、不安全的存储、恶意执行、参数篡改、会话管理缺陷和Web服务等多种常见的Web安全漏洞
WebGoat漏洞测试平台分析.pdf
06-19
WebGoat漏洞测试平台分析。phpStudy+Mysql。
WebGoat漏洞测试平台分析.zip
03-12
WebGoat漏洞测试平台分析
Webgoat学习笔记.zip
03-12
Webgoat学习笔记
TWAPT:使用dockerdocker-compose,webgoat,dvwap,bwapp和Juice Shop部署自己的Web应用程序渗透测试实验室
05-05
Trainig | Web应用程序渗透测试 要求 码头工人 码头工人组成 网 Webgoat:本地主机:8080 / WebGoat Mutillidae:本地主机:8088 / mutillidae DVWAP:本地主机:8081 bwapp:本地主机:8082 / install.php ...
第38天:WEB漏洞-反序列化之PHP&JAVA全解(下)1
08-03
演示案例:Java 反序列化及命令执行代码测试WebGoat_Javaweb 靶场反序列化测试0x01 注入判断,获取管理员帐号密码:根据提示附件进行 java
element-ui的bug记录
最新发布
nick_zhang的博客
04-29 500
7.el-dialog组件在关闭时,会触发子组件的created/mounted生命周期。原因是当visible改变为false,即关闭dialog的时候,如果用户设置了destroyOnClose=true,则执行key++;key是绑定在较外层的div上的,key值的变化会导致这个div重新渲染。6.select 的 popper-append-to-body ,默认值为true;dialog的append-to-body,默认值为false;3.element表格前端分页。
web逻辑漏洞挖掘快速入门到放弃
07-29
在实践阶段,可以选择一些常见的漏洞演练平台进行挖掘实践,如OWASP WebGoat。通过挖掘和利用这些平台上的漏洞,提高自己的技能和经验。同时,还可以参与一些CTF比赛,与其他安全爱好者交流学习,不断提升自己的挖掘...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值