2. 程式人生 > >web安全***靶場之webgoat-1

web安全***靶場之webgoat-1

阿新 發佈:2019-01-17
nts 因此 最好 mark tel uri security term ati

概述(小白入手)

webgoat下載
WebGoat is a deliberately insecure web application maintained by OWASP designed to teach web application security lessons(也就是說WebGoat是用來教web應用程序安全的課程). You can install and practice with WebGoat.(安裝和練習) There are other ‘goats‘(替罪羊) such as WebGoat for .Net. In each lesson, users must demonstrate their understanding of a security issue by exploiting a real vulnerability in the WebGoat applications.(使用者必須通過探索在WebGoat上一個真實的漏洞來明白是否理解一個安全問題) For example, in one of the lessons the user must use SQL injection to steal fake credit card numbers. The application aims to provide a realistic teaching environment,(提供一個真實的教學環境) providing users with hints and code to further explain the lesson.(有提示和代碼解釋課程)

總之,為我們這些需要靶機練手的純小白提供了平臺並且提供了系列課程供學習漏洞的挖掘與測試(通俗易懂)

GitHub地址:https://github/WebGoat/WebGoat
(裏面有提高源碼,可以找到JAVA代碼,想要理解他如何運行的可以看看)

環境搭建以及安裝過程

失敗的經歷
用的VMware,安裝了ubuntu(純屬受上課老師的迷惑),如果你要安裝在ubuntu上的話,記得查看ubuntu的位數 uname -a,我是32位,因此jdk安裝又失敗了一回(微笑)其實應該是安裝在kali上更好操作,因為後期許多工具不需要再安裝,最終在各種限制的條件下安裝在了windows下,因為虛擬機真的慢。

成功的經歷
一、搭建環境
1、安裝jdk-1.8.0版本(註意版本,不要太高,webgoat不支持,最好是1.8.0版本的)
技術分享圖片
安裝成功

2、 下載webgoat(webwolf)地址 https://github.com/WebGoat/WebGoat/releases
技術分享圖片

二、安裝過程
下載完成後到下載目錄,(我是在E盤中)執行命令運行
技術分享圖片

   同理,webolf運行  java -jar webwolf-8.0.0.M17.jar
   sucess界面

技術分享圖片

   在瀏覽器中輸入127.0.0.1:8080/WebGoat(區分大小寫),進入webgoat(webwolf是在9090端口)

技術分享圖片

註意事項
1.jdk安裝的路徑配置(不同的操作系統可能不一樣)

技術分享圖片

新的一年,加油

如有錯誤之處,請大家指出,一起進步

web安全***靶場之webgoat-1

相關推薦

web安全***靶場webgoat-1

nts 因此 最好 mark tel uri security term ati 概述(小白入手) webgoat下載WebGoat is a deliberately insecure web application maintained by OWASP designe

Web 安全漏洞 OS 命令注入

什麼是 OS 命令注入 上週我們分享了一篇 《Web 安全漏洞之 SQL 注入》,其原理簡單來說就是因為 SQL 是一種結構化字串語言,攻擊者利用可以隨意構造語句的漏洞構造了開發者意料之外的語句。而今天要講的 OS 命令注入其實原理和 SQL 注入是類似的,只是場景不一樣而已。OS 注入攻擊是指程式提供了直

Web 安全漏洞 XSS 攻擊

編者說:作為JS系工程師接觸最多的漏洞我想就是 XSS 漏洞了,然鵝並不是所有的同學對其都有一個清晰的認識。今天我們請來了@盧士傑 同學為我們分享他眼中的 XSS 漏洞攻擊,希望能幫助到大家。 什麼是 XSS 攻擊 XSS(Cross-Site Scripting)又稱跨站指令碼,XSS的重點不在於跨

Web安全初探闖關遊戲Natas(上)

 作為一名安全小白,若你想對Web安全進行了解學習,那麼推薦你嘗試這個闖關遊戲,此款遊戲共33關,當你拿到上一關金鑰時方可進入下一關,在這裡我和大家分享一下闖關經驗以及學習心得。附上游戲地址:http://overthewire.org/wargames/natas/nata

【33】WEB安全學習----XSS攻擊1

關於XSS跨站指令碼攻擊有太多文章和教材提供了,本章就簡單介紹XSS攻擊原理,重點介紹XSS程式碼構造和繞過。 一、XSS攻擊原理 XSS攻擊:即跨站指令碼攻擊,是指攻擊者在網頁中嵌入客戶端JavaScript指令碼,當用戶使用瀏覽器瀏覽嵌入惡意程式碼的網頁時,惡意程式碼

web安全測試 xss攻擊

一、 背景知識 1、 什麼是 XSS 攻擊? XSS 攻擊: 跨站指令碼攻擊(Cross Site Scripting) , 為不和層疊樣式表(Cascading Style Sheets,CSS)的縮寫混淆。 故將跨站指令碼攻擊縮寫為 XSS。 跨站指令碼攻擊, 是 W

WEB安全系列如何挖掘任意檔案讀取漏洞

$fp="../template/".$siteskin."/area_show.htm"; $f = fopen($fp,'r'); $strout = fread($f,filesize($fp)); fclose($f); $strout=str_replace("{#siteskin}",$site

Web安全漏洞CSRF

什麼是 CSRF 在瞭解 CSRF 之前我們需要科普兩個前提。首先是登入許可權驗證的方式有很多種,目前絕大多數網站採用的還是 session 會話任務的方式。session 機制簡單的來說就是服務端使用一個鍵值對記錄登入資訊,同時在 cookie 中將 session id

Web安全測試跨站請求偽造(CSRF)

 跨站請求偽造(即CSRF)被Web安全界稱為諸多漏洞中“沉睡的巨人”,其威脅程度由此“美譽”便可見一斑。本文將簡單介紹該漏洞,並詳細說明造成這種漏洞的原因所在,以及針對該漏洞的黑盒測試與灰盒子測試具體方法和示例,最後提提了一些防範該攻擊的建議,希望本文對讀者的安全測試

Web安全通訊Token與JWT

https://www.jianshu.com/p/ca7afbd392e9 本文用於個人學習筆記 Token 什麼是token Token是服務端生成的一串字串,以作客戶端進行請求的一個令牌,服務端根據令牌獲取客戶端的身份資訊。 舉個栗子: http://www.exa

Web安全測試XSS

SS 全稱(Cross Site Scripting) 跨站指令碼攻擊, 是Web程式中最常見的漏洞。指攻擊者在網頁中嵌入客戶端指令碼(例如JavaScript), 當用戶瀏覽此網頁時,指令碼就會在使用者的瀏覽器上執行,從而達到攻擊者的目的.  比如獲取使用者的Coo

Web效能探索旅-1.無線網路基礎

一、無所不在的連線 針對不通的使用場景,無線網路技術有很多種。 鑑於無線網路技術如此多樣,籠統地概括所有無線網路的效能優化手段是不可能的。好在大多數無線技術的原理都是相通的,衡量效能的指標和約束條件也具有普遍實用性。只要把影響無線效能的基本原理搞清楚,那其他問題自然也就迎刃而解了。 二、無線網路的效能基

Web安全測試——XSS漏洞

一、概念 XSS攻擊:跨站指令碼攻擊(Cross Site Scripting),它是Web程式中最常見的漏洞。 XSS攻擊是指攻擊者在網頁中嵌入客戶端指令碼(例如JavaScript), 當用戶瀏覽此網頁時,指令碼就會在使用者的瀏覽器上執行,從而達到攻擊者的目的。比如獲取

1013.Web安全攻防靶場wavsep

wavsep 基於 配置 -i sep 工程 -c 流行 替換 概述 wavsep 是一款基於java的簡單web攻防靶場,利用最簡單的jsp技術進行實現。 GitHub地址為 https://github.com/sectooladdict/wavsep。 部署後首頁截

web安全機器學習入門——1.環境搭建

onf log adding 隨機數生成 自然語言 圖像 2.6 大量 cond 前置知識 算法和數據的辯證關系:算法和數據是機器學習解決實際問題不可或缺的兩大因素。早期機器學習十分依賴特征提取,隨著發展,人們發現通過增加訓練數據量,讓機器從大量基礎特征中可以自動關聯出潛

web安全機器學習入門——3.1 KNN/k近鄰算法

數據收集 完成 整合 ada set acc eat true orm 目錄 sklearn.neighbors.NearestNeighbors 參數/方法 基礎用法 用於監督學習 檢測異常操作(一) 檢測異常操作(二) 檢測rootkit 檢測websh

web安全同源策略

rip 瀏覽器中 屬性。 名單 java get message 否則 cookie 為什麽使用同源策略?一個重要原因就是對cookie的保護,cookie 中存著sessionID 。如果已經登錄網站,同時又去了任意其他網站,該網站有惡意JS代碼。如果沒有同源策略,那麽這

Web安全 X-Frame-Options響應頭配置

編制 可能 腳本編制 攻擊 invalid mis itl pla snippet   最近項目處於測試階段,在安全報告中存在" X-Frame-Options 響應頭缺失 "問題,顯示可能會造成跨幀腳本編制攻擊,如下圖:      X-Frame-Options:   值

Web安全越權操作:橫向越權與縱向越權

localhost new 用戶修改 情況 name 查看 普通用戶 新的 登錄 參考:http://blog.csdn.net/github_39104978/article/details/78265433 看了上面的文章,對越權操作的概念還是比較模糊,不明確實際場景。

【筆記】網易微專業-Web安全工程師-04.WEB安全實戰-1.DVWA部署

medium lec cte 第三章 min 命令 erl 修復方法 ble 課程概述: 紙上得來終覺淺,絕知此事要躬行。通過本課的學習和實戰演練,讓同學們深入理解並掌握常見Web安全漏洞的挖掘、利用技能,以及知曉修復方法。 課程大綱: 第一節.DVWA部署 第二節.暴力