Exp9 Web安全基础
20154305 齐帅
一、实验要求
本实践的目标理解常用网络攻击技术的基本原理。
Webgoat实践下相关实验:
FQ
WebGot
BurpSuite
Injection Flaws
Cross-Site Scripting
二、实践过程
1.安装WebGoat
WebGoat是由著名的OWASP负责维护的一个漏洞百出的J2EE Web应用程序,这些漏洞并非程序中的bug,而是故意设计用来讲授Web应用程序安全课程的。这个应用程序提供了一个逼真的教学环境,为用户完成课程提供了有关的线索。
因为WebGoat是基于java开发的软件,所以需要JDK环境,还需要下载一个WebGoat.jar包.
至于下载这个WebGoat.jar包真的费了好久时间,因为网上找到的下载链接都被墙了,这个链接你可以试一下,最后费了九牛二虎之力翻了一下墙,下载好的jar包和JDK我放在了百度云。
看一眼哈,我真的FQ了,现在可是严打的情况,我免费FQ也不容易啊~
FQ软件叫蓝灯,还挺靠谱的,哈哈哈~
jar包下载好了以后放到kali里面,键入java -jar *.jar
等着就可啦,*为文件名。
打开火狐,键入127.0.0.1:8080/WebGoat
(注意大小写),注册一个用户就可以啦~
sad,是全英文的,我真的头大了~还需要依靠翻译软件理解不是人话的东西。。。
2.Injection Flaws
这个题就是你输入姓名会得到相关信息
如上,用万能公式弄一下就得到了所有人的信息啦~注意这个是字符串注入。
下一题是输入用户ID得到信息,同样输入一个永真式,数字注入,得到所有人的信息。
SQL注入进阶:
本题要求通过Smith的信息联合得到Dave的密码,根据提示信息可以得到存储用户密码的表名为 user_system_data,列为password。
先键入Smith' order by 7--
,如下,可以得到正确的反馈信息
键入Smith' order by 8--
,得到错误反馈,说明列数为7。
根据以上信息,键入Smith' union select null,null,null,null,null,null,null from user_system_data --
联合查询判断数据回显位置。
键入Smith' union select null,user_name,password,null,null,null,null from user_system_data --
获取Dave的密码。
输入Dave
的密码,正确~
3.BurpSuite
BurpSuite是用于攻击web应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP消息,持久性,认证,代理,日志,警报的一个强大的可扩展的框架。
通过代理服务器可以截获http报文进行修改。