![](https://img-blog.csdnimg.cn/20201014180756925.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
Webgoat
文章平均质量分 81
00M
keep alive
展开
-
WebGoat——SQL injection
1、Stage 1Stage 1: Use String SQL Injection to bypass authentication. Use SQL injection to log in as the boss ('Neville') without using the correct password. Verify that Neville's profile can be view原创 2012-08-09 09:50:18 · 4364 阅读 · 0 评论 -
开源安全项目 – WebGoat待宰羔羊
WebGoat是 OWASP旗下的开源项目中比较著名的一个元老级计划之一,系统包括了一个基于的TomCat server的含有人为漏洞J2EE Web应用。人们可以通过攻击这些漏洞学习和理解Web attack的一些基本概念,让诸多菜鸟也体验一下黑客的乐趣,最重要的是很安全,不触犯法律。详细内容请至开发网站观看http://www.owasp.org/index.php/Categ转载 2012-07-03 15:27:22 · 1705 阅读 · 0 评论 -
WebGoat——盲注
工具介绍:盲注可以通过人工去做,但是成本太高,Webgoat提供一个工具Simple JHijack(下载地址),通过与Tamper Data(使用方法)的结合使用,能够完成部分盲注。界面介绍:具体的实施1、Webgoat——Blind Numeric SQL InjectionThe form below allows a user to enter an account原创 2012-08-14 15:42:46 · 2065 阅读 · 0 评论 -
WebGoat——XST
XST是一个老的漏洞,只对IE6有用。具体介绍参见:http://blog.csdn.net/yu422560654/article/details/7801030代码:if ( navigator.appName.indexOf("Microsoft")!=-1)//判断appName中是否包含Microsoft { var xmlHttp = newAc转载 2012-07-30 11:55:07 · 835 阅读 · 0 评论 -
WebGoat——XSS Attacks(part 2)
1、存储型脚本:>alert('just for fun')------------------------------------------------------------------------------------------------------------------------------------------------------------2、原创 2012-07-26 09:11:25 · 1535 阅读 · 1 评论 -
WebGoat——CSRF
1、CSRF介绍参见:http://blog.csdn.net/yu422560654/article/details/7789167题意:书写一个URL诱使其他用户点击,从而触发CSRF攻击。解题:以图片的的形式将URL放进Message框,这时的URL对其他用户是不可见的,其他用户一旦点击图片,就会触发一个CSRF事件。代码如下:2、原创 2012-07-26 16:01:00 · 3010 阅读 · 0 评论 -
WebGoat——XSS Attacks(part 1)
跨站脚本攻击在其他用户可以看到的地方放置恶意代码,通常是JavaScript代码。表单中的目标字段可以是地址、留言评论等。恶意代码通常窃取Cookie,从而可以使攻击者冒充成用户,或者进行社会工程攻击,诱引受害者泄漏自己的密码。Hotmail,Gmail和AOL都曾受到过这类社会工程攻击。这里并不想特意论述操纵浏览器漏洞的JavaScript或类似技术,有三种方法可以对应用程序进行测试,如果成原创 2012-07-17 14:04:31 · 2921 阅读 · 2 评论 -
WebGoat——RBAC
基于角色的访问控制——Role-Based Access ControlRBAC事先会在系统中定义出不同的角色,不同的角色拥有不同的权限,一个角色实际上就是一个权限的集合。而系统的所有用户都被分配到不同的角色中,一个用户可能拥有多个角色,角色之间有高低之分。一、Bypass a Path Based Access Control SchemeThe 'guest' user has原创 2012-08-20 16:51:02 · 1413 阅读 · 0 评论