WebGoat通关教程

最新推荐文章于 2023-10-08 22:05:23 发布
最新推荐文章于 2023-10-08 22:05:23 发布
阅读量1.1w 收藏 60
点赞数 8
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuandao_ahfengren/article/details/105927579
版权
本文提供了一个WebGoat的详细通关教程,涵盖了从基础到高级的各种安全漏洞利用,包括HTTP基础、代理、CIA三元组、加密、SQL注入、认证绕过、JWT令牌、密码重置、不安全的直接对象引用、缺失的功能级访问控制、跨站脚本攻击、CSRF等。读者将通过实践学习如何识别和利用这些漏洞。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这里我们用docker镜像一键搭建即可

用docker命令开启webgoat

docker run -d -p 8081:8080 -p 9090:9090 -e TZ=Europe/Amsterdam webgoat/goatandwolf

打开192.168.109.131:8081/WebGoat和192.168.109.131:9090/WebWolf能打开即可

192.168.109.131是本地IP

直接注册一个账号,登录即可,两个页面账号是相同的

我们先设置下抓包配置

然后这两个包会一直发送,我们把它屏蔽掉

HTTP Basecs3

我们输入POST和数字,抓包

我们发现我们输入的数字是magic_answer,而magic_num估计是答案了,我们把数字123修改成17放包即可

HTTP Proxies4

我们检查元素在控制台中输入webgoat.customjs.phoneHome()会看到一串数字,输入进去即可,456046147

把POST修改成GET、添加x-request-intercepted:true,再把最下面一行删除即可

HTTP Proxies6

 

打开检查元素再go查看网络中的参数看到了一串数字输入进去即可

CIA Triad5

答案是3、1、4、2

把这串base64位解密即可获取账号密码

Crypoto Basics4


直接拿去破解即可

最低0.47元/天 解锁文章
玄道网安
关注
WebGoat通关详解
chengede98的博客
03-22 1981
通过完成WebGoat通关过程,用户可以全面提升自己在Web安全领域的知识和技能水平。因此,我们鼓励更多的用户参与到WebGoat的学习中来,共同为构建一个更安全的Web环境贡献力量。这有助于用户了解自己的学习进度和需要改进的地方。因此,用户需要保持学习和实践的态度,不断更新自己的知识和技能。除了完成WebGoat的练习外,用户还可以关注最新的安全动态和技术趋势,参与相关的安全活动和项目实践。参考文档和社区资源:如果遇到难以解决的问题或需要进一步的帮助,用户可以参考WebGoat提供的文档和社区资源。
webgoat教程
03-09
webgoat攻防教程,是学习网络安全攻防的极佳教程,采用5.2版本
WebGoat通关攻略
weixin_45539802的博客
01-06 3万+
WebGoat通关攻略 目录WebGoat通关攻略前言一、环境配置1.Docker配置2.WebGoat获取3.WebGoat连接二、通关攻略(建设中)1.Introduction2.General3.Injection4.Broken Authentication5.Sensitive Data Exposure6.XML External Entities(XXE)7.Broken Access Control8.Cross-Site Scripting(XSS)9.Insecure Deseriali
webgoat全关教程手册
热门推荐
黑白的博客
11-08 5万+
Webgoat&Webwolf owaspbwa里面的两个服务 搭建 先要安装jdk、WebgoatWebwolf WebgoatWebwolf jdk1.8不支持了,需要安装jdk11 去git上下载WebgoatWebwolf https://github.com/WebGoat/WebGoat/releases/tag/v8.0.0.M26 去oracle官网下载JDK https://www.oracle.com/java/technologies/javase-jdk11-down
WebGoat通关攻略与详细解析——SQL Injection(intro)篇
qq_43739482的博客
10-18 5416
WebGoat靶机通关攻略,详细描述了题目的要求、解题思路和过程、通关答案。
WebGoat8.2.2通关记录一(General、Injection)
fiskeryang的专栏
06-25 3526
本课程描述了什么是结构化查询语言(SQL),以及如何操作它来执行开发人员最初不打算执行的任务什么是SQL?尝试检索员工Bob Franco的部门解:简单的SQL查询数据操作语言(DML)尝试将Tobi Barnett的部门改为“Sales”。数据定义语言(DDL)现在尝试通过将列“phone”(varchar(20))添加到表“employees”中.数据控制语言(DCL)尝试将表的权限授予未经授权的用户:Try It!String SQL injection 字符串SQL注入。
WebGoat通关详解.zip
03-22
"WebGoat通关详解.zip"这个压缩包文件很可能包含了一步步指导用户如何完成WebGoat所有挑战的详细教程。 在描述中提到的"webgoat通关"意味着这个资源将带领用户了解如何解决WebGoat中的各种安全问题,从基础到高级,...
面试必备:WebGoat实战通关指南!一(General、Injection)
最新发布
03-22
webgoat通关【2024年WebGoat8.2.2通关记录一(General、Injection)简介】 内容概要: 本文为网络安全初学者提供了一个全面的学习指南,通过通俗易懂的语言,介绍了WebGoat8.2.2版本的General和Injection两个关卡的...
WebGoat教程解析
05-09
WebGoat里面关于会话劫持(Hijack a Session)这个课程的标准答案里面除了使用WebScarab以外还使用了其他的工具来找出合法的SessionID以完成这个课程,实际上这个课程完全可以只使用WebScarab来完成。
WebGoat教程学习(一)--环境配置
weixin_30800807的博客
10-10 429
Github地址: https://github.com/WebGoat/WebGoat 部分课程运行需要修改源码,建议安装Developer版本 环境准备: Java 1.8 Maven > 2.0.9 Your favorite IDE, with Maven awareness: Netbeans/IntelliJ/Eclipse with m2e inst...
webgoat
03-16
WebGoat:故意不安全的Web应用程序 重要信息 WebGoat课程服务器当前处于主要开发阶段。 从2016年2月1日起,版本“ 7.0.1”被视为主要体系结构和UI更改的第一个STABLE版本。 WebGoat的旧版/旧版可以在以下找到: WebGoat是由维护的故意不安全的Web应用程序,旨在教授Web应用程序安全性课程。 该程序演示了常见的服务器端应用程序缺陷。 这些练习旨在供人们用来学习应用程序安全性和渗透测试技术。 警告1:在运行该程序时,您的计算机极易受到攻击。 使用此程序时,应断开与Internet的连接。 WebGoat的默认配置绑定到本地主机,以最大程度地减少暴露。 警告2:此程序仅用于教育目的。 如果未经授权尝试使用这些技术,很可能会被抓住。 如果您被发现从事未经授权的黑客攻击,大多数公司都会开除您。 声称您正在进行安全性研究不会奏效,因为这是所有黑客都宣称
WebGoat使用方法总结整理
05-17
WebGoat使用方法总结整理,
WebGoat8.2.2通关记录二( Broken Authentication )
fiskeryang的专栏
07-21 657
Base64Urlencode : Base64 URL编码是Base64编码算法的修改版本,用于以URL安全的格式对二进制数据进行编码。这是因为在某些上下文中,例如在url中,标准Base64编码可能不是url安全的,并且可能导致特殊字符的问题。上面的Sql由于kid=asdf不存在不会返回任何值,而union后的则会返回 c2Rm 也就是表示当前的key已经被篡改为了 sdf。尝试更改您收到的令牌,并通过更改令牌成为管理员用户并重置投票。刷新令牌的安全性问题:需要使用tom的账户来为你的订单买单。
WebGoat 靶场 JWT tokens 四 五 七关通关教程
qq_45953122的博客
10-08 1196
JWT的三个部分:头部(Header)、载荷(Payload)和签名(Signature)也就是Cookie字段的access_token的值。重点在 payload 声明中的 exp 和 username,exp 是 token 过期的时间戳,时间戳需要修改到当前时间之后,也就让它不过期。它是 WebGoat 服务器 JAR 文件,这是一个故意不安全的 Web 应用程序,用于安全培训和测试。粘贴到bp中(注:不需要复制其jwt的第三部分,但要跟上连接第三部分的。
Webgoat-Hijack a session通关答题教程
空城雀的博客
09-01 1898
答题思路: 1.先获取合法的id 2.答题时,拦截请求,换成合法的id 3.服务器会返回hijack_cookie 4.找hijack_cookie有什么规律,自己猜出一个新的正确的hijack_cookie 5.使用新hijack_cookie发送请求,服务器返回成功,即可通关。 用到的工具: 1.burp
WebGoat靶场搭建及通关记录(一)
m0re's blog
08-26 7548
文章目录前言一、搭建靶场二、通关攻略1.GeneralHTTP BasicsHTTP Proxies2.Injection FlawsSQL Injection (advanced) 前言 搭建WebGoat靶场,没事打一打。 一、搭建靶场 靶场环境,只介绍在windows系统中搭建过程。 先下载这两个文件 https://github.com/WebGoat/WebGoat/releases/download/v8.1.0/webgoat-server-8.1.0.jar https://githu
WebGoatV8.1(A3-A5)详细过关教程
weixin_51566481的博客
08-29 2115
webgoat
webgoat学习
m0_46581588的博客
02-27 182
使用IDEA搭建一个简单的SpringBoot项目——详细过程_君当自强-CSDN博客_springboot项目搭建
WebGoat通关技巧与详尽攻略解析
资源摘要信息:"WebGoat通关详解.zip文件包含了详尽的WebGoat漏洞实验平台的通关策略和解决方案。WebGoat是一个开源的安全教学工具,设计用来教授网络安全和应用安全领域的开发者如何识别、预防和修复潜在的网络应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值