一、Insure Communication不安全的通信——Insecure Login不安全的登录
1.题目:
For this lesson you need to have a server client setup. Please refer to theTomcat Configuration in the Introduction section.
Stage1: In this stage you have to sniff the password. And answer the question after the login.
在这一课程中你需要搭建一个客户端服务器。请回到介绍部分的tomcat配置模块。
步骤1:在这一步骤中你需要嗅探登录密码,并在登陆后回答问题。
2.课程主题
课程计划标题:不安全的登录
课程主题:敏感信息不应当以明文的方式发送!通常经过验证之后浏览器会转向安全连接。攻击者可通过嗅探获取到的登录信息和收集到的其他信息入侵账号。一个好的web应用程序总是使用加密的方式传输敏感信息。
课程总体目标:查看嗅探明文中密码是如何的方便。理解加密登录数据的优点。
3.操作步骤
(1)打开开发者调试页面,查看网页源代码。在搜索框中输入password,找到如下代码。此时,可发现用户名为Jack,密码为sniffy。
(2)进入回答问题页面,输入sniffy即可(这里还可以使用WireShark工具)。
(3)Stage2: Now you have to change to a secure connection. The URL should start with https:// If your browser is complaining about the certificate just ignore it. Sniff again the traffic and answer the questions
现在你需要改变来使用安全连接。URL需要以https://作为开头,如果你的浏览器提示没有证书,直接忽略即可。再一次嗅探并且回答问题。
As you will see there is not sent the password in plaintext. The server communicates with the application over a secure layer the so called Transport Layer Security (TLS) also called Secure Socket Layer (SSL). TLS is a hybrid encrypting protocol. A master secret is built to communicate. This master secret is built by using SHA-1 and MD5. All traffic between the Server and the Cleint is encrypted.
使用https://传输之后,会发现在明文中不会嗅探到密码。服务器端与客户端通过传输层安全TLS(Transport Layer Security),又称为安全套接字层 SSL来通信。TLS是一个混合的加密协议,一个主密钥用来建立通信。这个密钥使用的是SHA-1和MD5。所有在服务端与客户端之间的通信都被加密了。
(4)在地址栏中添加https(https区别于http在于https采用了加密机制)
点击Submit。
(5)完成效果如图
二、Inscure Configuration不安全的配置——Forced Browsing强制浏览
1.题目:
- Your goal should be to try to guess the URL for the “config” interface.
- The “config” URL is only available to the maintenance personnel.
- The application doesn’t check for horizontal privileges.
- Can you try to force browse to the config page which should only be accessed by maintenance personnel.
你的目标是尝试着猜配置接口的URL
配置 URL仅供维护人员使用
应用程序不检查水平权限
你能迫使浏览器进入配置页面(这一页面应当只能由维护人员使用的)
2.课程主题:
课程计划标题:如何实现强制浏览攻击
攻击如何实现的:强制浏览是黑客使用的一种技术,黑客使用该技术获得对未引用资源的访问权限,但仍然可以访问。一种技术是通过从末尾删除部分来操纵浏览器中的URL,直到找到未受保护的目录。
总体目标:
你的目标是尝试着猜配置接口的URL
配置 URL仅供维护人员使用
应用程序不检查水平权限
3.操作步骤:
(1)如果要访问受限的页面,则需要猜到该页面的url,例如/admin.在本实验的环境中,WebGoat由WebGoat应用程序中的不同servlet组成。主servlet是/attack,哪一个会是config的servlet?
(2)尝试着修改url,直到访问到正确的结果。
(3)尝试着访问/WebGoat/config
(4)访问/WebGoat/configuration
(5)访问/WebGoat/conf
此时,进入了浏览器的配置页面,相应的接口为/WebGoat/conf
三、Insecure Storage不安全的存储——Encoding Basics编码基础知识
1.题目:
This lesson will familiarize the user with different encoding schemes.
这次课程将使用户熟悉不同的编码方案。
2.课程主题:
课程计划标题:如何执行基本编码
课程主题:出于不同的原因,在不同的web应用中可以不同的编码方案。
课程目标:这次课程将使用户熟悉不同的编码方案。
3.操作步骤
在输入框中输入相应的字符串,查看不同编码规则下的编码结果。
本次课主要是学习为主,引导使用者们去学习。同时也可将其看作一个工具,可快速查询字符串在各种编码规则下的结果,大大有利于编程!