—————— 昨日回顾 ——————
红日安全出品|转载请注明来源
文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!(来源:红日安全)
—————— —————— —————
介 绍
WebGoat是OWASP维护的,用于进行WEB漏洞测试和学习的JAVA应用程序
测试环境
1. 系统: win7
2. WebGoat: v8.0.0.M24
3. 测试程序: Firefox,chrome, ZAP 2.7.0,WebWolf v8.0.0.M24, luyten 0.5.4,ysoserial
WebGoat启动
1. 下载地址: https://github.com/WebGoat/WebGoat/releases2.
安装JDK 11: https://www.oracle.com/technetwork/java/javase/downloads/index.html3.
启动
4. firefox访问: http://localhost:8888/WebGoat
5. 注册新用户
6. 使用注册用户名密码进入WebGoat平台
WebWolf基础
1. 介绍
WebWolf是OWASP提供的用于模拟攻击者的应用程序,提供了文件托管、接收邮件、显示请求数据等功能,用于辅助攻击者完成攻击活动
2. 启动
1) 下载地址: https://github.com/WebGoat/WebGoat/releases2
2) 安装JDK 11: https://www.oracle.com/technetwork/java/javase/downloads/index.html3
3) 启动
4) firefox访问: http://localhost:9090/WebWolf
5) 使用WebGoat注册的用户名密码进行登陆
3. 解题
1) WebWolf 03
2) WebWolf 04
HTTP基础
1. HTTP协议
Web浏览器与服务器之间通过应用层HTTP协议进行数据交换,目前常用的HTTP协议有HTTP1.0、HTTP1.1和HTTP2.0,针对HTTP1.0和HTTP1.1请求和响应格式类似,主要分三部分:请求/响应行,请求/响应头,请求/响应体
2. HTTP代理
代理通常位于客户端和服务器连接之间,转发客户端的请求到服务器同时将服务器端响应转发给客户端,可用于记录所有请求和响应结果、拦截请求/响应、篡改请求/响应数据等功能
3. 配置ZAP代理
4. 配置Firefox代理
5. ZAP代理使用
1) 记录请求和响应内容
在Firefox中查看WebGoat控制程序,可在ZAP history选项卡中查看所有发起请求和响应的内容
2) 拦截请求/响应
拦截按钮说明
3) 自动拦截规则设置
4) 排除代理拦截
6. 解题
1) HTTP Basics 02
2) HTTP Basics 03
3) HTTP Proxies 06
海量安全课程 点击以下链接 即可观看
http://qiyuanxuetang.net/courses/
来源:freebuf.com 2020-03-23 15:47:55 by: Setup
请登录后发表评论
注册