WebGoat——不安全的通信、配置、存储

一、Insure Communication不安全的通信——Insecure Login不安全的登录
1.题目：
For this lesson you need to have a server client setup. Please refer to theTomcat Configuration in the Introduction section.
Stage1: In this stage you have to sniff the password. And answer the question after the login.
在这一课程中你需要搭建一个客户端服务器。请回到介绍部分的tomcat配置模块。
步骤1：在这一步骤中你需要嗅探登录密码，并在登陆后回答问题。

2.课程主题

课程计划标题：不安全的登录
课程主题：敏感信息不应当以明文的方式发送！通常经过验证之后浏览器会转向安全连接。攻击者可通过嗅探获取到的登录信息和收集到的其他信息入侵账号。一个好的web应用程序总是使用加密的方式传输敏感信息。
课程总体目标：查看嗅探明文中密码是如何的方便。理解加密登录数据的优点。

3.操作步骤
（1）打开开发者调试页面，查看网页源代码。在搜索框中输入password，找到如下代码。此时，可发现用户名为Jack，密码为sniffy。
（2）进入回答问题页面，输入sniffy即可（这里还可以使用WireShark工具）。

（3）Stage2: Now you have to change to a secure connection. The URL should start with https:// If your browser is complaining about the certificate just ignore it. Sniff again the traffic and answer the questions
现在你需要改变来使用安全连接。URL需要以https://作为开头，如果你的浏览器提示没有证书，直接忽略即可。再一次嗅探并且回答问题。

As you will see there is not sent the password in plaintext. The server communicates with the application over a secure layer the so called Transport Layer Security (TLS) also called Secure Socket Layer (SSL). TLS is a hybrid encrypting protocol. A master secret is built to communicate. This master secret is built by using SHA-1 and MD5. All traffic between the Server and the Cleint is encrypted.
使用https://传输之后，会发现在明文中不会嗅探到密码。服务器端与客户端通过传输层安全TLS（Transport Layer Security），又称为安全套接字层 SSL来通信。TLS是一个混合的加密协议，一个主密钥用来建立通信。这个密钥使用的是SHA-1和MD5。所有在服务端与客户端之间的通信都被加密了。

（4）在地址栏中添加https（https区别于http在于https采用了加密机制）
点击Submit。

（5）完成效果如图

二、Inscure Configuration不安全的配置——Forced Browsing强制浏览

1.题目：

Your goal should be to try to guess the URL for the “config” interface.
The “config” URL is only available to the maintenance personnel.
The application doesn’t check for horizontal privileges.
Can you try to force browse to the config page which should only be accessed by maintenance personnel.
你的目标是尝试着猜配置接口的URL
配置 URL仅供维护人员使用
应用程序不检查水平权限
你能迫使浏览器进入配置页面（这一页面应当只能由维护人员使用的）

2.课程主题：

课程计划标题：如何实现强制浏览攻击
攻击如何实现的：强制浏览是黑客使用的一种技术，黑客使用该技术获得对未引用资源的访问权限，但仍然可以访问。一种技术是通过从末尾删除部分来操纵浏览器中的URL，直到找到未受保护的目录。
总体目标：
你的目标是尝试着猜配置接口的URL
配置 URL仅供维护人员使用
应用程序不检查水平权限

3.操作步骤：
（1）如果要访问受限的页面，则需要猜到该页面的url，例如/admin.在本实验的环境中，WebGoat由WebGoat应用程序中的不同servlet组成。主servlet是/attack，哪一个会是config的servlet？
（2）尝试着修改url，直到访问到正确的结果。
（3）尝试着访问/WebGoat/config

（4）访问/WebGoat/configuration

（5）访问/WebGoat/conf
此时，进入了浏览器的配置页面，相应的接口为/WebGoat/conf

三、Insecure Storage不安全的存储——Encoding Basics编码基础知识

1.题目：
This lesson will familiarize the user with different encoding schemes.
这次课程将使用户熟悉不同的编码方案。

2.课程主题：

课程计划标题：如何执行基本编码
课程主题：出于不同的原因，在不同的web应用中可以不同的编码方案。
课程目标：这次课程将使用户熟悉不同的编码方案。

3.操作步骤
在输入框中输入相应的字符串，查看不同编码规则下的编码结果。

本次课主要是学习为主，引导使用者们去学习。同时也可将其看作一个工具，可快速查询字符串在各种编码规则下的结果，大大有利于编程！

WebGoat——不安全的通信、配置、存储相关推荐

西门子S7-200 SMART(6ES7 288-1ST40-0AA0)相关与晨控智能CK-FR08-E00关于modbus tcp 通信配置指南
西门子S7-200 SMART(6ES7 288-1ST40-0AA0)相关与晨控智能CK-FR08-E00关于modbus tcp 通信配置指南准备阶段软件:STEP 7-MicroWIN SM ...
nginx.config widows 简单配置存储
nginx.config widows 简单配置存储 #user nobody; worker_processes 4;#error_log logs/error.log; #error_log lo ...
小型公司 --- OSPF 不连续区域进行通信配置
实验名称:OSPF 不连续区域进行通信配置: 实验目的:在不连续的区域间进行全网通信: 实验准备: 首先,准备六台路由器,三台PC机. PC1:IP地址:100.1.1.1 子网掩码:255.255. ...
linux 子接口非vlan,VLAN之间通过子接口通信配置示例
VLAN之间通过子接口通信配置示例 1.组网需求图1配置VLAN间通过子接口通信组网图如上图1所示,企业的不同部门拥有相同的业务,如上网.VoIP等业务,且各个部门中的用户位于不同的网段.目前存在 ...
西门子S7300PLC转以太网连接CHNet-S7300MD实现以太网通信配置方法
西门子S7300PLC转以太网连接CHNet-S7300MD实现以太网通信配置方法产品简介兴达易控CHNet-S7300MD用于西门子S7-200/SMART S7-200/S7-300/S7-4 ...
Symantec Backup Exec 系列三：配置存储
本次使用的是本地磁盘存储用于备份．以下为基本磁盘存储和重复数据删除磁盘存储的配置截图．总体来说配置过程比以前的版本更加的人性化．一．基本磁盘存储配置 1．选择配置存储 2．选择基于磁盘的存储 3．选 ...
大数据架构-使用HBase和Solr配置存储与索引
大数据架构-使用HBase和Solr配置存储与索引 2014-08-22 11:04 王安琪博客园字号:T | T HBase可以通过协处理器Coprocessor的方式向Solr发出请求,Sol ...
Modbus转Profinet网关连接皖仪氦质谱检漏仪SFJ-16M通信配置案例
Modbus转Profinet网关连接皖仪氦质谱检漏仪SFJ-16M通信配置案例 Modbus转Profinet网关XD-MDPN100连接皖仪氦质谱检漏仪SFJ-16M,接入到西门子1200PLC, ...
串口服务器与网页通信配置,串口服务器是怎么实现串口通信的
串口服务器作用通过串口把工业设备通过有线(RJ45)或无线(WIFI)的方式连连接到以太网上.来实现设备的远程传输与管理.那么串口服务器通信是怎么样通信的呢.下面就以众山设备ZSE310为例,介绍串口 ...

WebGoat——不安全的通信、配置、存储

WebGoat——不安全的通信、配置、存储相关推荐

最新文章

热门文章