WebGoat网络安全攻防

1.介绍WebGoat。

WebGoat是一种漏洞百出的J2EWeb应用程序,由OPWASP(OpenWebAplicatsecect)负责维护。这些漏洞不是程序中的bug,而是故意设计用于教授Web应用程序安全课程。

网络应用安全知识的学习和实践中,面临的一大难点是:到哪里去找能练手的网络应用?显然,直接在公网上进行检测是不可取的,这将触犯相关法律。此外,安全专业人员往往需要检测一些安全工具,以检测其功能是否如厂商所说,此时需要一个有确定漏洞的平台作为检测目标。但无论是学习网络检测还是检测工具性能,都需要在安全、合法的环境下进行。任何企图未经允许发现安全漏洞的行为都是不允许的。这时,网络goat项目就应运而生了。

WebGoat项目的主要目标非常简单,即为Web应用程序安全学习创造一个生动的交互式教学环境。在其中设计了大量的Web缺陷,引导用户如何一步一步地利用这些缺陷进行攻击,并指出如何在程序设计和编码过程中避免这些缺陷。Web应用程序的设计者和测试者都可以在WebGoat中找到他们感兴趣的部分。

尽管WebGoat给出了很多关于如何使用漏洞的解释,但它仍然相对有限,尤其是对初学者来说,这是他们的特点——WebGoat的每一个教程都清楚地告诉用户存在哪些漏洞,但如何打破它需要用户查阅信息,了解漏洞的原理、特点和攻击方法,甚至需要找到自己的攻击辅助工具。当攻击成功时,WebGoat也会给出一个红色的张天空!

WebGoat包含的漏洞教程主要有Cros-siteScripting(XSS)、AcessConterConterConterConterConterConterConterConterConterConterConterConterConterConterConterContebGoat甚至支持加入自己的教程。

2.安装WebGoat。

由于WebGoat8的jar文件已经带来了tomcat和数据库,8的jar文件已经带来了tomcat和数据库,所以我们不需要安装tomcat和mysql只需要安装jdk来运行jar文件。

(1)下载。

下载地址:

https://github.com/WebGoat/WebGoat/releases。

图片

webgoat-server是webgoat。webwolf是一个为方便攻击者提供支持的网站。在某些情况下,攻击者需要自己的网站进行合作。例如,您需要远程包含一个文件等;如果你认为有必要,你可以一起下载。

(2)安装。

在上一步下载jar文件,然后将其存放到您想要放置的目录中,例如将其放在/opt目录中。

3.基本使用WebGoat。

(1)启动。

cd/opt。

-8.0.0.M14.jarjavar-jarwebgoat-server。

图片

如果要修改ip和端口,默认监听127.0.10:8080地址可以在启动时指定相应的参数,例如:

jart=80.0.0.0.0.m14.jar-server.port=8000-server.adresss=0.0.0

(2)登录。

启动完成后,使用浏览器访问:http://127.0.0.1:8080/webat。

图片

注册用户,注册后返回登录,进入界面如下:

图片

我们点开sql注入漏洞界面如下:部局与dvwa类似,左侧是菜单右侧是相应的内容:

图片

上面的1,2,3…8是一个相关的界面,包括一个漏洞说明页面,背景是灰色的环环,背景是一个有漏洞的页面。其他漏洞的布局与此类似。

© 版权声明
THE END
喜欢就支持以下吧
点赞5
分享
相关推荐
  • 暂无相关文章
  • 评论 抢沙发
    源码客的头像-源码客

    昵称

    取消
    昵称表情图片