《webgoat-7.1课程》由会员分享,可在线阅读,更多相关《webgoat-7.1课程(80页珍藏版)》请在金锄头文库上搜索。
1、密级公开WebGoat 7.1课程版本说明修订人修订内容修订时间版本号审阅人倪伟伟初稿2016.05.231.0文档信息文档名称文档编号文档版本号保密级别扩散范围扩散批准人文档说明WebGoat7.1的本课程指导,自己根据网上搜集的资料整理(主要是胡晓斌2011年7月的WebGoat5.2课程使用说明和白河愁2012年9月的WebGoat5.4课程使用说明)以及http:/drops.wooyun.org/web/13594,再加上自己的理解半完成。WebGoat7.1与以前的课程存在有不同之处。因自己刚接触Web安全,加之自身能力有限,部分课程没有完成,希望有兴趣的人一起学习、补充。版权声明
2、可以随便修改目录1.WebGoat简介11.1.WebGoat安装11.2.WebGoat启动12.WebGoat课程22.1.Introduction22.1.1.How to work with WebGoat22.1.2.Useful Tools42.1.3.How to Create A Legacy Lesson52.2.General52.2.1.HTTP Basic52.3.Access Control Flaws52.3.1.Using an Access Control Matrix52.3.2.Bypass a Path Based Access Control Schem
3、e62.3.3.LAB:Role Based Access Control72.4.AJAX Security142.4.1.LAB:Client Side Filtering142.4.2.LAB:DOM-Based cross-site scripting162.4.3.DOM Injection192.4.4.XML Injection202.4.5.JSON Injection222.4.6.Insecure Client Storage242.4.7.Dangerous Use of Eval252.5.Authentication Flaws262.5.1.Password Str
4、ength262.5.2.Forgot Password272.5.3.Multi Level Login 2282.5.4.Multi Level Login 1282.6.Buffer Overflows292.6.1.Off-by-One Overflows292.7.Code Quality312.7.1.Discover Clues in the HTML312.8.Concurrency322.8.1.Thread Safety Problems322.8.2.Shopping Cart Concurrency Flaw322.9.Cross-SiteScripting342.9.
5、1.Phishing with XSS342.9.2.LAB:Cross Site Scripting362.9.3.Stored XSS Attacks402.9.4.Reflected XSS Attacks412.9.5.Cross Site Request Forgery(CSRF)412.9.6.CSRF Prompt By-Pass422.9.7.CSRF Token By-Pass442.9.8.HTTP Only Test462.10.Improper Error Handling472.10.1.Fail Open Authentication Scheme472.11.In
6、jection Flaws482.11.1.Command Injection482.11.2.Numeric SQL Injection492.11.3.Log Spoofing502.11.4.XPATH Injection502.11.5String SQL Injection522.11.6LAB:SQL Injection532.11.7Database Backdoors572.11.8Blind Numeric SQL Injection582.11.9Blind String SQL Injection583.1.Denial of Service593.1.1.ZipBomb
7、593.1.2.Denial of Service from Multiple Logins603.2.Insecure Communication603.2.1.Insecure Login603.3.Insecure Storage623.3.1.Encoding Basics623.4.Malicious Execution643.4.1.Malicious File Execution643.5.Parameter Tampering643.5.1.Bypass HTML Field Restrictions643.5.2.Exploit Hidden Fields653.5.3.Ex
8、ploit Unchecked Email653.5.4.Bypass Client Side JavaScript Validation653.6.Session Management Flaws663.6.1.Hijack a Session663.6.2.Spoof an Authentication Cookie673.6.3.Session Fixation683.7.Web Services693.7.1.Create a SOAP Request693.7.2.WSDL Scanning703.7.3.Web Service SQL Injection713.7.4.Web Se
9、rvice SAX Injection713.8.Challenge72VI文档名称:WebGoat 7.1课程指导1. WebGoat简介WebGoat是OWASP(Open Web Application Security Project)开发的用于Web漏洞演示与验证的平台。该平台包含了访问控制、AJAX安全、认证失效、缓冲区溢出、代码质量、并行性、XSS、不正确的错误控制、注入缺陷、DoS、不安全的通信、不安全的存储、恶意执行、参数篡改、会话管理缺陷和Web服务等多种常见的Web安全漏洞。最新版下载https:/ WebGoat安装以WebGoat的Developers版为例进行安装,
10、通过Git工具把WebGoat以及WebGoat-Lessons(https:/ package,把WebGoat-Lessons打包成jar文件,然后拷贝到/WebGoat/webgoat-container/src/main/webapp/plugin_lessons/目录下。在Eclipse或Myeclipse中导入WebGoat工程,至此,WebGoat安装完成。1.2. WebGoat启动在Eclipse或Myeclipse中使用Maven Build运行WebGoat,在本地浏览器输入访问地址:http:/localhost:8080/WebGoat。输入用户名和密码后即可进入We
11、bGoat的教学演示环境,如下图:2. WebGoat课程2.1. Introduction2.1.1. How to work with WebGoat1. 环境信息WebGoat使用Apache Tomcat服务器,但是也可运行在任一的应用服务器上。2. 界面说明u 1、WebGoat的课程分类;u 2、显示Java源代码;u 3、显示所选课程的通用解决办法;u 4、显示课程目标;u 5、显示完成课程的技术提示;u 6、显示HTTP响应参数;u 7、重新开始本课程;3、解决课程问题总是从课程计划开始,然后尝试解决课程问题,如果有必要,使用提示。如果适用,最后一个提示是解决方案文本。如果适用
12、提示不能解决这个问题,你可以查看完整的详细解决方案。4、读和编辑参数/Cookies为了读和编辑参数/Cookies,你需要一个类似OWASP ZAP的本地代理去了拦截HTTP请求。更多关于ZAP的信息可以在“UsefulTools”章节找到。5、配置新WebGoat用户WebGoat使用spring-security.xml配置新用户 6、增加一个新用户增加一个用户很直接。作为例子,你可以使用guest入口。新增的用户应该和guest有同样的角色。新用户的user/password将不会显示在登录页。在/WEB-INF/spring-security.xml中增加类似如下内容:2.1.2. Useful Tools1、OWASP ZAPZed Attack Proxy简写为ZAP,是一个简单易用的渗透测试工具,是发现Web应用中的漏洞的利器,更是渗透测试爱好者的好东西。关于ZAP的使用方法, 可以参考:http:/
