WebGoat

Webgoat 笔记总结-Cross-site-scripting

Cross-SiteScripting(xss)PhishingwithXSS网络钓鱼与xss使用alert('xss')测试使用functionhack(){alert("Hadthisbeenarealattack...Yourcredentialswerejuststolen.UserName="+document.forms[0].user.value+"Password="+docume
GeForever·2012-10-03 19:37

Webgoat 笔记总结-Concurrency

Concurrency并发它包括通常由于Java静态方法使用不当造成的威胁的安全问题和购物车并发的缺陷。Web应用程序可以同时处理的HTTP请求原理:线程安全是指一个对象或类等领域始终保持有效状态时,由多个线程同时使用。它通常是可以利用加载另一个用户精确地在同一时间在同一页的并发错误。因为所有的线程共享相同的方法区,方法区是所有类变量存储,多个线程可以尝试同时使用相同的类变量。ThreadSafe
·2012-10-03 18:45

Webgoat 笔记总结-Concurrency

Concurrency并发它包括通常由于Java静态方法使用不当造成的威胁的安全问题和购物车并发的缺陷。Web应用程序可以同时处理的HTTP请求原理:线程安全是指一个对象或类等领域始终保持有效状态时,由多个线程同时使用。它通常是可以利用加载另一个用户精确地在同一时间在同一页的并发错误。因为所有的线程共享相同的方法区,方法区是所有类变量存储,多个线程可以尝试同时使用相同的类变量。ThreadSafe
GeForever·2012-10-03 18:45

Webgoat 笔记总结-Buffer Overflow & Code Quality

BufferOverflow通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。通过缓冲区溢出攻击,使程序运行失败、系统宕机、重新启动。更为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。无法演示……. CodeQuality写代码的写得好不好咯找源码演示FIXME中存在密码
·2012-10-02 13:52

Webgoat 笔记总结-Buffer Overflow & Code Quality

BufferOverflow通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。通过缓冲区溢出攻击,使程序运行失败、系统宕机、重新启动。更为严重的是,可以利用它执行非授权指令,甚至可以取得系统特权,进而进行各种非法操作。无法演示……. CodeQuality写代码的写得好不好咯找源码演示FIXME中存在密码
GeForever·2012-10-02 13:52

Webgoat 笔记总结-Authentication flaws

Authenticationflaws认证缺陷密码强度登录网站https://www.cnlab.ch/codecheck.测试密码破解时间答案ForgotPassword原理:利用这个认证密码找回的提问,且提问答案单一性的缺陷,测试出用户的密码。为了方便早就测试好的认真答案,依次输入redyellowgreen。BasicAuthentication基本身份认证。我们利用webscard截取网页
GeForever·2012-10-02 13:39

Webgoat 笔记总结-Authentication flaws

Authenticationflaws认证缺陷密码强度登录网站https://www.cnlab.ch/codecheck.测试密码破解时间答案ForgotPassword原理:利用这个认证密码找回的提问,且提问答案单一性的缺陷,测试出用户的密码。为了方便早就测试好的认真答案,依次输入redyellowgreen。BasicAuthentication基本身份认证。我们利用webscard截取网页
GeForever·2012-10-02 13:39

Webgoat 笔记总结-Authentication flaws

Authenticationflaws认证缺陷密码强度登录网站https://www.cnlab.ch/codecheck.测试密码破解时间答案ForgotPassword原理:利用这个认证密码找回的提问,且提问答案单一性的缺陷,测试出用户的密码。为了方便早就测试好的认真答案,依次输入redyellowgreen。BasicAuthentication基本身份认证。我们利用webscard截取网页
·2012-10-02 13:39

Webgoat 笔记总结-Http Attack

Httpresponesplitting主要分为:第一步:Httpsplitting输入教程里面的数据foobarContent-Length:0HTTP/1.1200OKContent-Type:text/htmlContent-Length:47HackedJwebscard的transcorder转换后的URLencode:foobar%0D%0AContent-Length%3A+0%0D
·2012-10-02 13:52

Webgoat 笔记总结-Http Attack

Httpresponesplitting主要分为:第一步:Httpsplitting输入教程里面的数据foobarContent-Length:0HTTP/1.1200OKContent-Type:text/htmlContent-Length:47HackedJwebscard的transcorder转换后的URLencode:foobar%0D%0AContent-Length%3A+0%0D
GeForever·2012-10-02 13:52

Webgoat 笔记总结-Http Attack

Httpresponesplitting主要分为:第一步:Httpsplitting输入教程里面的数据foobarContent-Length:0HTTP/1.1200OKContent-Type:text/htmlContent-Length:47HackedJwebscard的transcorder转换后的URLencode:foobar%0D%0AContent-Length%3A+0%0D
GeForever·2012-10-02 13:52

Webgoat 笔记-Access Control Flaws

 AccessControlFlaws(该文转载)3.1UsinganAccessControlMatrix矩阵暴力破解课程介绍:一个角色只能访问固定的资源,探索这个web页面的权限规则,只有admin权限的user可以访问'AccountManager'resource.目标:用非admin权限的user访问到'AccountManager'resource.采用的方法:不停的尝试user和re
·2012-10-02 12:15

Webgoat 笔记-Access Control Flaws

 AccessControlFlaws(该文转载)3.1UsinganAccessControlMatrix矩阵暴力破解课程介绍:一个角色只能访问固定的资源,探索这个web页面的权限规则,只有admin权限的user可以访问'AccountManager'resource.目标:用非admin权限的user访问到'AccountManager'resource.采用的方法:不停的尝试user和re
GeForever·2012-10-02 12:15

WebGoat第五关:Buffer Overflows

缓冲区溢出攻击,多么cooooooooooooool的名字。然后。。。然后就没有然后了。。。。。我只发图,不说话。。。。 
ROger__wonG·2012-09-24 20:00

WebGoat第四关:Authentication Flaws

4-1PasswordStrength本关让你测试密码强度,进入他给的网站,把密码打上,测一下然后把时间填上即可。不过我做的时候用这种方法没有通关,大概是随着计算机处理能力的提高,所用的计算时间变短了,而题目的答案是基于这个project建设时候的密码计算时间,所以过不了。经验教训:目前应该没有能使用密码词典破解密码的网站了吧,不过即便如此还是使自己的密码复杂一点好。4-2ForgotPasswo
ROger__wonG·2012-09-20 21:00

WebGoat第三关:AJAX Security(续)

接着上篇日志来。3-6JSONInjection首先在输入框里输入BOS和SEA,这时候触发AJAX,向服务器发送一个请求,服务器返回机票的价格信息,截取返回信息,修改成想要的内容(将第一个没有中转的机票改便宜点),即可提交过关。或者不修改截取的信息,直接提交,发现机票价格是post过去的,改post过去的信息也行(最后一个值,%24是$符号,改后面的数字即可)。两种方法均能过关。经验教训:别用j
ROger__wonG·2012-09-18 21:00

WebGoat第三关:AJAX Security

3-1DOM-Basedcross-sitescripting3-1要求你做的工作是进行跨站脚本攻击,也就是进行javascript注入,如果熟悉前端html代码和javascript可以很容易的做出来,如果不熟悉,额,怎么做也做不出来了吧。所谓的跨站脚本攻击也就是利用网页的某些漏洞,比如讲用户提交的内容不加任何处理就放在html中作为内容显示出来,据此可以注入javascript来改变网页本身的
ROger__wonG·2012-09-15 20:00

WebGoat第二关:Access Control Flaws

闲来无事又把webgoat第二关打通了,第二关总体上来讲比较简单。2-1:UsinganAccessControlMatrix 没啥可说的,随便试试就通关了。
ROger__wonG·2012-08-31 21:00

WebGoat第一关:Http Splitting与Cache Poison

课余时间实在无聊,魔兽又不开MOP,下了个WEBSCAREB同时又下了个WEBGOAT玩,发现还不错,即算是开拓思路,同时在自己做WEB开发的时候可以少犯错误,还能学点黑客技术去黑黑别人的网站什么的。 
ROger__wonG·2012-08-28 21:00

WebGoat——RBAC

基于角色的访问控制——Role-BasedAccessControlRBAC事先会在系统中定义出不同的角色,不同的角色拥有不同的权限,一个角色实际上就是一个权限的集合。而系统的所有用户都被分配到不同的角色中,一个用户可能拥有多个角色,角色之间有高低之分。一、BypassaPathBasedAccessControlSchemeThe'guest'userhasaccesstoallthefiles
yu422560654·2012-08-20 16:00

WebGoat——盲注

工具介绍:盲注可以通过人工去做,但是成本太高,Webgoat提供一个工具SimpleJHijack(下载地址),通过与TamperData(使用方法)的结合使用,能够完成部分盲注。
yu422560654·2012-08-14 15:00

WebGoat——SQL injection

1、Stage1Stage1:UseStringSQLInjectiontobypassauthentication.UseSQLinjectiontologinastheboss('Neville')withoutusingthecorrectpassword.VerifythatNeville'sprofilecanbeviewedandthatallfunctionsareavailable
yu422560654·2012-08-09 09:00

WebGoat——XST

XST是一个老的漏洞,只对IE6有用。具体介绍参见:http://blog.csdn.net/yu422560654/article/details/7801030代码:if(navigator.appName.indexOf("Microsoft")!=-1)//判断appName中是否包含Microsoft { varxmlHttp=newActiveXObject("Microsoft.XM
yu422560654·2012-07-30 11:00

WebGoat——CSRF

1、CSRF介绍参见:http://blog.csdn.net/yu422560654/article/details/7789167题意:书写一个URL诱使其他用户点击,从而触发CSRF攻击。解题:以图片的的形式将URL放进Message框,这时的URL对其他用户是不可见的,其他用户一旦点击图片,就会触发一个CSRF事件。代码如下:2、CSRF——Promptby-pass题意:与1类似,构造C
yu422560654·2012-07-26 16:00

WebGoat——XSS Attacks(part 2)

1、存储型脚本:>alert('justforfun')------------------------------------------------------------------------------------------------------------------------------------------------------------2、反射型题意:通过反射型XSS
yu422560654·2012-07-26 09:00

WebGoat——XSS Attacks(part 1)

跨站脚本攻击在其他用户可以看到的地方放置恶意代码,通常是JavaScript代码。表单中的目标字段可以是地址、留言评论等。恶意代码通常窃取Cookie,从而可以使攻击者冒充成用户,或者进行社会工程攻击,诱引受害者泄漏自己的密码。Hotmail,Gmail和AOL都曾受到过这类社会工程攻击。这里并不想特意论述操纵浏览器漏洞的JavaScript或类似技术,有三种方法可以对应用程序进行测试,如果成功的
yu422560654·2012-07-17 14:00

开源安全项目 – WebGoat待宰羔羊

WebGoat是OWASP旗下的开源项目中比较著名的一个元老级计划之一,系统包括了一个基于的TomCatserver的含有人为漏洞J2EEWeb应用。
yu422560654·2012-07-03 15:00

实战安全工程师训练佳品之WebGoat

对于每堂课,都对应于WebGoat应用程序中的一个实际的安全漏洞,为了能亲身实践如何利用这个漏洞,您首先需要具备该漏洞的有关知识,虽然W
jhonguy·2012-06-28 06:00

实战安全工程师训练佳品之WebGoat

对于每堂课,都对应于WebGoat应用程序中的一个实际的安全漏洞,为了能亲身实践如何利用这个漏洞,您首先需要具备该漏洞的有关知识,虽然W
yatere·2012-05-08 10:00

学习Web应用漏洞最好的教程----WebGoat

WebGoat是一个用于讲解典型web漏洞的基于J2EE架构的web应用,他由著名的WEB应用安全研究组织OWASP精心设计并不断更新,目前的版本已经到了5.0。
god_7z1·2012-04-29 01:06

WebGoat 搞的纠结

 从Linux嵌入式转到做安全攻防,又是一个大的跨度。 上一次的大跨度的转行,是考研,从物理系考到计算机。而最初的缘由,正是安全攻防。但是读研之后,发现想做黑客,需要的知识是海量啊,最终退缩了,没能独自坚持。 现在,转了一圈,又回来了。然而,不同的是,有一个团队,一起搞攻防。 需要学习的东西依然很多,对Web还是不太了解,各种脚本,网络协议,服务器结构。。信息搜集,漏洞发现,攻击方法,搜索网络上的
gzliu_hit·2012-04-24 17:00

WebGoat安装及使用说明

WebGoat是由著名的OWASP负责维护的一个漏洞百出的J2EEWeb应用程序,这些漏洞并非程序中的bug,而是故意设计用来讲授Web应用程序安全课程的。
gzliu_hit·2012-04-20 08:00

webgoat学习笔记――General

Partone:HttpBasics  这个部分需要用到WebScarab插件,此插件需要设置代理,HTTP代理:localhost,端口:8008,原先我是在win7系统上装的webgoat,这就需要在浏览器中设置代理
若烟·2012-02-10 12:29

OWASP WebGoat 安装使用

   WebGoat是一个与平台无关的Web安全漏洞实验环境,该环境需要ApacheTomcat和JAVA开发环境的支持。
小跑堂·2011-12-28 23:29

WebGoat笔记】--- Cross-Site Scripting(XSS)

 目标:伪造一个登陆界面,要求用户输入用户名和密码,将数据提交到http://localhost/WebGoat/capture/PROPERTY=yes&ADD_CREDENTIALS_HERE 解决步骤
yefan2222·2011-12-21 16:00

WebGoat 学习笔记】--3.试用中出现的问题汇总及解决办法

  1、建议使用8080端口,以免冲突;2、如果安装后地址栏输入http://localhost/WebGoat/attack无法打开,可尝试输入http://localhost/webgoat/attack
yefan2222·2011-11-29 10:00

WebGoat 学习笔记】--2.安装

 WebGoat是一个平台无关的Web安全漏洞实验环境,该环境需要ApacheTomcat和JAVA开发环境的支持。
yefan2222·2011-11-29 10:00

WebGoat 学习笔记】--1.简介及下载

 WebGoat是一个用来演示Web应用程序中的典型安全漏洞的应用程序,旨在在应用程序安全审计的上下文中系统、条理地讲解如何测试和利用这些安全漏洞。
yefan2222·2011-11-29 09:00

渗透测试学习资源列表

WebPentestingApplicationNameCompany/DeveloperURLOWASPWebGoatOWASPhttp://www.owasp.org/index.php/OWASP_WebGoat_ProjectOWASPVicnumOWASPhttp
god_7z1·2011-09-20 16:08

Windows系统下WebGoat安装

       WebGoat是一个平台无关的Web安全漏洞实验环境,该环境需要ApacheTomcat和JAVA开发环境的支持。
若烟·2011-08-30 16:37

WebGoat和WebScarab使用

WebGoat访问地址:http://localhost:8080/webgoat/attack,注意:webgoat全部小写;浏览器是IE7及以上版本,需要在主机名后增加“.”
tigermxu·2011-04-18 18:44

CentOS系统安装7zip

需要解压缩WebGoat的.7zip包,探索后记录详细安装使用过程:1、到http://sourceforge.net/projects/p7zip/下载7zip的Linux安装包2、解压缩后看到其中有一个
jessiewqq·2010-10-08 13:30

CentOS系统安装7zip

需要解压缩WebGoat的.7zip包,探索后记录详细安装使用过程:1、到http://sourceforge.net/projects/p7zip/下载7zip的Linux安装包2、解压缩后看到其中有一个
jessiewqq·2010-10-08 13:30

结合WebScarab对WebGoat进行SQL注入测试

   SQL注入是目前Web应用中最常见的漏洞,只要网页上有提交框并且该提交框的内容影响后台的查询的SQL语句,就可能存在该漏洞。一般程序员在编写Web应用程序时都是直接从request中取出提交的参数的值放入到SQL语句中进行查询,这就造成了一个又一个的SQL注入风险。熟悉SQL语句的攻击者会在网页输入框中输入设计好的内容,将SQL的查询逻辑改变,从而得到自己想要的东西。举几个例子:   案例1
bill_lee_sh_cn·2009-03-20 10:00

学习Web应用漏洞最好的教程----WebGoat

   WebGoat是一个用于讲解典型web漏洞的基于J2EE架构的web应用,他由著名的WEB应用安全研究组织OWASP精心设计并不断更新,目前的版本已经到了5.0。
bill_lee_sh_cn·2009-03-19 13:00

web应用安全入门

我以前也总是想知道XSS,CSRF,SQL injection具体的攻击过程是怎样的的,WebGoat 提供了一个演示项目,里面有30几种常见的攻击演
gurudk·2009-01-13 08:00

OWASP WebGoat + WebScarab

OWASPWebGoat+WebScarab 鬼仔注:看到TR那里放了几个链接,这里来个详细的,我英文很烂,就不翻译了。一、OWASPWebScarabProjectatoolforperformingalltypesofsecuritytestingonwebapplicationsandwebservices下载地址:OWASPSourceCodeCenteratSourceforge安装方法
simeon2005·2008-10-20 09:35
上一页 1 2 3 4 5 6 7 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他