Web安全 |Java靶场基础搭建实战(一)

WebGoat漏洞测试平台分析

v2-29a2c0fc3c187e2191f0747884d3cc1f_1440

——————   昨日回顾  ——————  

红日安全出品|转载请注明来源

文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!(来源:红日安全)

ATT&CK实战 | Vulnstack 红队(一)

0 (1).jpeg

—————— —————— —————

介 绍

WebGoat是OWASP维护的,用于进行WEB漏洞测试和学习的JAVA应用程序

测试环境

1. 系统: win7

2. WebGoat: v8.0.0.M24

3. 测试程序: Firefox,chrome, ZAP 2.7.0,WebWolf v8.0.0.M24, luyten 0.5.4,ysoserial

WebGoat启动

1. 下载地址: https://github.com/WebGoat/WebGoat/releases2

安装JDK 11: https://www.oracle.com/technetwork/java/javase/downloads/index.html3

启动

v2-1cd19de1493e7deca44e83f74f9bf17e_1440

4. firefox访问: http://localhost:8888/WebGoat

5. 注册新用户image.pngimage.png

6. 使用注册用户名密码进入WebGoat平台image.png

WebWolf基础

1. 介绍

WebWolf是OWASP提供的用于模拟攻击者的应用程序,提供了文件托管、接收邮件、显示请求数据等功能,用于辅助攻击者完成攻击活动

2. 启动

1) 下载地址: https://github.com/WebGoat/WebGoat/releases2

2安装JDK 11: https://www.oracle.com/technetwork/java/javase/downloads/index.html3

3启动

v2-ae847b40635a224821bcb22612e08078_1440

4) firefox访问: http://localhost:9090/WebWolf

5) 使用WebGoat注册的用户名密码进行登陆

v2-3ad74b72cb43d1624bbb4814a2b2d075_1440v2-6fee7fbe9a392922ffc2f173e6c82491_1440

3. 解题

1) WebWolf 03image.pngimage.pngimage.png

2) WebWolf 04

v2-217bc656aa4f96290c4c28e3baf717c5_1440v2-924bd9c1bb290d09f7c05dffec3054a6_1440v2-82d7d381ce3c21b2c45160f0d745d641_1440v2-6c3922721c7a02eb8fec2a35b82a26d1_1440

HTTP基础

1. HTTP协议

Web浏览器与服务器之间通过应用层HTTP协议进行数据交换,目前常用的HTTP协议有HTTP1.0、HTTP1.1和HTTP2.0,针对HTTP1.0和HTTP1.1请求和响应格式类似,主要分三部分:请求/响应行,请求/响应头,请求/响应体image.pngimage.png

2. HTTP代理

代理通常位于客户端和服务器连接之间,转发客户端的请求到服务器同时将服务器端响应转发给客户端,可用于记录所有请求和响应结果、拦截请求/响应、篡改请求/响应数据等功能

3. 配置ZAP代理image.png

v2-d599ae2ac555c42427ebcb98d19b673e_1440

4. 配置Firefox代理

v2-f4c0280176057adb10f6ecb1a0d805a9_1440v2-8569681bb236a42b89083bfb8059f20d_1440

5. ZAP代理使用

1) 记录请求和响应内容

在Firefox中查看WebGoat控制程序,可在ZAP history选项卡中查看所有发起请求和响应的内容image.png

2) 拦截请求/响应image.pngimage.pngimage.png

拦截按钮说明

v2-14c0eb6ef1bf0d6a0e1bbc5d60b6ebf8_1440

3) 自动拦截规则设置

v2-84ed98a449f446c7abd0eecfc4e78ed7_1440

4) 排除代理拦截

v2-1a077cc828e144a83df2dcd6cd3f6223_1440image.png

6. 解题

1) HTTP Basics 02image.png

2) HTTP Basics 03image.png

v2-8549efad59cd5992e01a47bd2f1c4f11_1440v2-83fccf9b52b5b5d5746d5b94063f60f0_1440

3) HTTP Proxies 06

v2-e85a15e9cc4859bcc3d1589b0b834129_1440v2-757b735740892329220998197d5fed36_1440v2-e8af769f23ec0f6995c2775541b68af0_1440


banner.jpg

海量安全课程   点击以下链接   即可观看 

http://qiyuanxuetang.net/courses/

取消
Loading...

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php