2. 程式人生 > >1013.Web安全攻防靶場之wavsep

1013.Web安全攻防靶場之wavsep

阿新 發佈:2019-01-15
wavsep 基於 配置 -i sep 工程 -c 流行 替換

概述

wavsep 是一款基於java的簡單web攻防靶場,利用最簡單的jsp技術進行實現。

GitHub地址為 https://github.com/sectooladdict/wavsep。

技術分享圖片

部署後首頁截圖
技術分享圖片

部署

從git上下載包後,倒入eclipse中,修復jdk版本號即可。wavsep使用的默認為jre7tomcat6

技術分享圖片

技術分享圖片

具體怎麽將已有eclipse項目導入並將web項目在tomcat中運行,請在搜索引擎中搜索。

項目啟動成功後,訪問連接 http://127.0.0.1:8080/wavsep/wavsep-install/install.jsp 輸入root用戶信息,程序會自動進行表的創建,因為該程序是使用derby保存數據庫連接信息,所有沒有其他的配置文件。表創建完成後需要將tomcat重啟才能夠正確的運行靶場。

技術分享圖片

使用

該平臺中包含了很多的漏洞,具體如下:

SQL註入

待補全

DOM-XSS

待補全

反射型XSS

待補全

本地文件包含 LFI

待補全

遠程文件包含 RFI

待補全

備份文件檢查

待補全

信息泄露

待補全

SESSION認證

待補全

總結

該靶場由於完成比較早,所以近些年比較流行的一些漏洞沒有納入把場中,但是對於一些老的漏洞,對於初學者來說還是不錯的。

1013.Web安全攻防靶場之wavsep

相關推薦

1013.Web安全攻防靶場wavsep

wavsep 基於 配置 -i sep 工程 -c 流行 替換 概述 wavsep 是一款基於java的簡單web攻防靶場,利用最簡單的jsp技術進行實現。 GitHub地址為 https://github.com/sectooladdict/wavsep。 部署後首頁截

學習筆記-------web 安全攻防 cdn查詢真實ip方法總結

資訊收集: 伺服器配置、網站敏感資訊(後臺、檔案目錄、敏感檔案、注入點、上傳點、xss點、域名、子域名)、目標網站系統、cms指紋、真實ip、開放埠。 愛站:https://www.aizhan.com 可以獲取一般網站的ip,域名,子域名,伺服器資訊 繞過CDN查詢網站真實IP

Web安全攻防-滲透測試實戰指南》讀書筆記

前言:本人大概花了2-3周的空閒時間讀完了第一遍這本書,也算是我第一本系統的從頭看到尾的web安全方向的書(Ps.《白帽子講web安全》到現在為止都沒看完,很尷尬,目

Web安全攻防:滲透測試實戰指南》筆記(一)

前言 這個系列是拜讀《Web安全攻防:滲透測試實戰指南》之後的一些筆記和實踐記錄,感謝作者對我學習過程的幫助,這本書值得大家入手學習。 資訊收集 1.獲取真實IP 繞過CDN尋找目標伺服器的真實IP,如果目標伺服器不存在CDN,可以通過www.i

碼農翻身講網路5:Web安全攻防戰與HTTPS

瀏覽器:一個家族的奮鬥 原創: 劉欣 碼農翻身 2017-12-12 我是你們每天都要使用的瀏覽器,自從90年代誕生以來,我們這個大家族變得非常的繁榮,在過去的幾十年中,我們一直兢兢業業地幫助你們人類去探索外部的網際網路世界。隨著網際網路和移動網際網路的發展,我們家族終

【轉】常見六大Web 安全攻防解析

nor 介紹 ech 應用 shel 想要 後端 key 正則表達 原文轉自:https://segmentfault.com/a/1190000018073845 作者:浪裏行舟 在互聯網時代,數據安全與個人隱私受到了前所未有的挑戰,各種新奇的攻擊技術層出不窮。如何

Web攻防業務安全實戰指南 Web安全漏洞分析技術教程書籍 電商銀行金融證券保險遊戲社交

理論篇 第1章 網路安全法律法規 2 中華人民共和國網路安全法 目 錄 第一章 總則 第二章 網路安全支援與促進 第三章 網路執行安全 第一節 一般規定 第二節 關鍵資訊基礎設施的執行安全 第四章 網路資訊保安 第五章 監

web安全***靶場webgoat-1

nts 因此 最好 mark tel uri security term ati 概述(小白入手) webgoat下載WebGoat is a deliberately insecure web application maintained by OWASP designe

web安全同源策略

rip 瀏覽器中 屬性。 名單 java get message 否則 cookie 為什麽使用同源策略?一個重要原因就是對cookie的保護,cookie 中存著sessionID 。如果已經登錄網站,同時又去了任意其他網站,該網站有惡意JS代碼。如果沒有同源策略,那麽這

iOS安全攻防結構體保護使用

fff n) cnblogs 調用 hook hang ras evel amp   Objective-C 代碼很容易被 hook,因此需要對一些重要的業務邏輯進行保護,可以改用結構體的形式,把函數名隱藏在結構體裏,以函數指針成員的形式存儲。這樣編譯後只留了下地址,去掉了

iOS安全攻防使用 Frida 繞過越獄設備檢測

檢測 攻防 -i blog 越獄 工具 分析工具 href 設備   Frida 是 一款有趣的手機應用安全分析工具。   文章參考:Bypass Jailbreak Detection with Frida in iOS applications      iOS安全攻防

Web安全 X-Frame-Options響應頭配置

編制 可能 腳本編制 攻擊 invalid mis itl pla snippet   最近項目處於測試階段,在安全報告中存在" X-Frame-Options 響應頭缺失 "問題,顯示可能會造成跨幀腳本編制攻擊,如下圖:      X-Frame-Options:   值

Web安全越權操作:橫向越權與縱向越權

localhost new 用戶修改 情況 name 查看 普通用戶 新的 登錄 參考:http://blog.csdn.net/github_39104978/article/details/78265433 看了上面的文章,對越權操作的概念還是比較模糊,不明確實際場景。

Web安全CSRF攻擊

for idt 例子 expr 由於 不能 防止 失效 內容 一、CSRF是什麽? CSRF(Cross Site Request Forgery),中文是跨站點請求偽造。CSRF攻擊者在用戶已經登錄目標網站之後,誘使用戶訪問一個攻擊頁面,利用目標網站對用戶的信任,以用戶身

web安全token

sub decode tutorial nag 發送 PC 大型網站 ppr ade 最近了解下基於 Token 的身份驗證,跟大夥分享下。很多大型網站也都在用,比如 Facebook,Twitter,Google+,Github 等等,比起傳統的身份驗證方法,Toke

20155201 網絡攻防技術 實驗九 Web安全基礎

cookie信息 。。 區分 基礎問題 永久 信息管理 註入攻擊 偽造 res 20155201 網絡攻防技術 實驗九 Web安全基礎 一、實踐內容 本實踐的目標理解常用網絡攻擊技術的基本原理。Webgoat實踐下相關實驗。 二、報告內容: 1. 基礎問題回答 1)SQ

[Web安全] XXE漏洞攻防學習(中)

div ESS passwd rem __name__ uri header requests 情況下 0x00、XXE漏洞攻擊實例 攻擊思路: 1. 引用外部實體遠程文件讀取 2. Blind XXE 3. Dos 0x01、外部實體引用,有回顯 實驗操作平臺:bWA

20155236範晨歌免考項目:web安全漏洞利用

以及 程序 pin href pst 虛擬 php arm .html PHP和PHPinfo的簡單介紹 https://www.cnblogs.com/fcgfcgfcg/p/9234978.html 通過CSRF漏洞加深理解 https://www.cnblogs.

web安全SQL註入

password 嚴格 add code 數據 檢查 star 代碼 輸入數據 一、如何理解SQL註入? SQL註入是一種將SQL代碼添加到輸入參數中 傳遞到SQL服務器解析並執行的一種×××手法 二、SQL註入是怎麽產生的? WEB開發人員無法保證所有的輸入都已經過

Web 安全內容安全策略(Content-Security-Policy,CSP)詳解

pid eba elf safe 數據 信息 java php 我們 1.CSP 簡介 內容安全策略(Content Security Policy,簡稱CSP)是一種以可信白名單作機制,來限制網站是否可以包含某些來源內容,緩解廣泛的內容註入漏洞,比如 XSS。 簡單來說,