携手创作,共同成长!这是我参与「掘金日新计划 · 8 月更文挑战」的第17天,点击查看活动详情
WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上,当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效、危险的HTML注释等等。WebGoat提供了一系列web安全学习的教程,某些课程也给出了视频演示,指导用户利用这些漏洞进行攻击
webwolf前两关是介绍内容,第三关的目的是拿到webgoat所发送的代码: 这里呢是需要我们填邮箱,即“注册名+@webgoat.org”。 点击send email后; 点开webwolf的操作页面:
即可获得我们想要的代码。
将代码填入下图所示方框中:
第四关类似于我们生活中也会遇到的钓鱼邮件一样: 点击图片中的提示转接到修改密码的网页:
这里要求用户填入自己想修改的密码。(随便填就可以我填的的是 :mima) 就好比木马链接一样,当你提交了修改的新密码后,信息会发到破坏者的后台,在我们这里就是webwolf:
点击图片中的地方即可获得我们想要的code。填入webgoat中即可:
这样我们第一节的introduction任务就完成了。
