WEBGoat實驗報告

1、精選文檔WebGoat試驗報告一、WebGoat 項目簡介 WebGoat是OWASP組織研制出的用于進行web漏洞試驗的應用平臺，用來說明web應用中存在的平安漏洞。WebGoat運行在帶有JVM的平臺上，當前供應的訓練課程有30多個，其中包括：跨站點腳本攻擊（XSS）、訪問把握、線程平安、操作隱蔽字段、操縱參數(shù)、弱會話cookie、SQL盲注、數(shù)字型SQL注入、字符串型SQL注入、web服務、Open Authentication失效、危急的HTML注釋等等。WebGoat供應了一系列web平安學習的教程，某些課程也給出了視頻演示，指導用戶利用這些漏洞進行攻擊。二、WebGoat的安裝We

2、bGoat 可以在網(wǎng)上下載到，運行其中的“webgoat_8080.bat”即可。在運行前，需要將代理設 置為 localhost，端口 8008。 在掃瞄器中輸入 http:/localhost:8080/WebGoat/attack 登錄，假如啟動了 Webscarab，則在掃瞄器 輸入 http:/localhost.:8080/WebGoat/attack。初始用戶名密碼是 guest。 也可以在WebGoat-5.2tomcatconftomcat-users.xml 修改用戶名與密碼。 也可以在WebGoat-5.2tomcatconfserver_80.xml 文件中修改端口。三

3、、WebGoat的使用3.1 先修課之Http基礎學問 HTTP(Hypertext transfer protocol)->超文本傳輸協(xié)議，是一種具體規(guī)定了掃瞄器和萬維網(wǎng)服務器(www)之間相互通信的規(guī)章，通過因特網(wǎng)傳送萬維網(wǎng)文檔的數(shù)據(jù)傳送協(xié)議。運行于OSI模型的應用層，由懇求和響應兩部分構成。HTTP協(xié)議是無狀態(tài)的協(xié)議。無狀態(tài)指HTTP協(xié)議對于事務處理沒有記憶力。缺少事務狀態(tài)意味著若后續(xù)處理需要前面的信息，則必需重傳，可能導致每次連接傳送的數(shù)據(jù)量增大。基于事務處理的需要，消滅了cookie和session技術。 在掃瞄器設置中增加一個 localhost 的代理，然后可以啟動 Web

4、Scarab。我們需要在“攔截（Intercept）”選項卡中選擇“攔截懇求（intercept request）”。在頁面輸入框中填寫上您的名字（“Your Name”）后，單擊【Go!】按鈕提交數(shù)據(jù)。在 WebScarab 的新窗口中，我們可以找到參數(shù)“person”。3.2 HTTP 拆分攻擊者在向 Web 服務器正常輸入的懇求中加入惡意代碼，受到攻擊的應用不會檢查 CR （回車，也可表示為%0d 或r）和 LF（換行，也可表示為%0a 或n）。這些字符不僅使攻擊 者把握應用程序打算發(fā)送的響應頭和響應體，而且還使他們能夠完全在其把握下制造更多的 答復。 HTTP 拆分攻擊協(xié)作緩存污染一起

5、使用，能使效果達到最大化。緩存污染攻擊的目標是 使緩存污染，哄騙緩存，使其信任使用 HTTP 拆分劫持的頁面是一個很正常的頁面，是一個 服務器的副本。攻擊發(fā)生時，使用 HTTP 拆分攻擊，加上最終修改添加的部分：懇求頭，并 設置它為將來的日期。這將迫使掃瞄器發(fā)送 If  Modified Since 懇求頭，這使攻擊者有機會 攔截服務器的答復，并代之以一個“304 不修改”答復。用戶需要使用 LF， %0a 由于輸入內容未作驗證您可以插入任何 HTTP 語法，回車和換行符。 任憑輸入一個語言名稱提交看看數(shù)據(jù)都是怎么交互的。請確認 WebScarab 的懇求攔截 和

6、返回攔截功能已經(jīng)啟用。語言框輸入“en”，并提交數(shù)據(jù)。 3.3 訪問把握缺陷 在一個基于角色的訪問把握方案中，角色代表了一組訪問權限和特權。一個用戶可以被 安排一個或多個角色。一個基于角色的訪問把握方案通常有兩個部分組成：角色權限管理和 角色安排。一個被破壞的基于角色的訪問把握方案可能允許用戶執(zhí)行不允許他/她的被安排 的角色，或以某種方式允許特權升級到未經(jīng)授權的角色的訪問。先選擇一個用戶，再選擇一個資源，然后點擊【Check Access】，消滅頁面如下圖所示：在 Select resource 選項中選中下一個資源 Time Card Entry，然后是點擊【Check Access】，消滅

7、頁面如下所示：3.4 繞過基于路徑的訪問把握方案在一個基于路徑的訪問把握方案中，攻擊者可以通過供應相對路徑信息遍歷路徑。因此， 攻擊者可以使用相對路徑訪問那些通常任何人都不能直接訪問或直接懇求就會被拒絕的文 件。選中“Choose the file to view”列表下的任何一個文件，然后點擊【View File】，用 WebScarab 工具截獲向服務器發(fā)送的懇求，如圖所示：3.5基于角色的訪問把握 在一個基于角色訪問把握的方案中，角色代表一組訪問權限和特權。一個用戶可以被分 配一個或多個角色，一個基于角色的訪問把握通常包括兩個部分：角色權限管理和角色安排。 一個被破壞的基于角色的訪問把握

8、方案，可能允許用戶以沒有安排他/她的角色或以某種方 式獲得的未經(jīng)授權的角色進行訪問。3.6 小試驗：客戶端過濾 服務端只向客戶端發(fā)送其只能訪問到的數(shù)據(jù)。在本課程中，服務端向客戶端發(fā)送了過多 的數(shù)據(jù)，由此產生了一個嚴峻的訪問把握問題。通過【Select user】下拉菜單查詢其它數(shù)據(jù)。在有返回數(shù)據(jù)的時候使用 Firebug 或 WebScarab 查看源代碼或返回數(shù)據(jù)。找到 Neville 的薪水信息。四、總結收獲不小，以前直接看書，沒有實戰(zhàn)，理解方面差很多，還看不進去。有了測試平臺后，聯(lián)系實戰(zhàn)，對于學問的理解有很大的掛念。課程設置有點問題，有時候檢測通過方法過于單一。由于平臺是英文，所以順帶熬煉英語了。對于自己從未接觸過得東西，完成起來問題很大。假如是生疏的學問，則能很輕松的完成。比如說XML我就沒用過，導致那個過濾的代碼不會寫。查了資料，過于片面