安装后,我们应能够通过浏览到http:// localhost:8080/WebGoat/attack。 页: 1

我们可以使用标识网页上展示的客座或行政证书。

Web Proxy

如果你下载下文所示的免费笔照,就足够了。

Configuring Burp Suite

Burp Suite是一个网络代理,可以拦截浏览器和网络服务器发送和接收的每一套信息。 这有助于我们在客户向网站发送信息之前修改内容。

该申请安装在8080港,Burp安装在8181港,如下文所示。 如下文所示,在港口8181处铺设沥青并形成以下环境。

我们应该确保缅甸听取第8080号港的申请,以便Burp公司能够拦截交通。 如下文所示,在Burp Suite范围表上应当这样做。

之后,您的浏览器代理环境聆听了8181港(Burp Suite港)。 因此,我们配置了网络代理,以拦截客户(浏览器)和服务器(网络服务器)之间的交通,详情如下:

下表以简单的工作流程图为参考,对组合的概况如下所示:

Security Testing - Injection

注射技术包括使用应用投入领域的注射卡片或指挥。

Web Apppcation - Injection

成功的注射可以读懂,修改数据库中的敏感数据,也可以从数据库中删除数据。 该系统还使黑客能够在数据库上开展行政业务,如关闭房舍管理处/开发数据库。

让我们在简单图表的帮助下理解这一缺陷的威胁代理人、攻击者、安全弱点、技术影响和商业影响。

Examples

该应用程序在建造以下KQ弱势电话时使用未经信任的数据:

String query = "SELECT * FROM EMP WHERE EMPID =  " + request.getParameter("id") + " ";

Hands On

Step 2——如演习所示,我们利用Sting Injection到绕行认证。 在不使用正确密码的情况下,使用注射作为 b(Neville )的标志。 查明Neville的情况,并公布所有职能(包括搜查、创建和删除)。

我们将 In弃一席之地,这样我们就能够绕过密码,把参数作为一 = 1 = 1

Step 4 - Post exploitation, we are foundin as Neville who is the Admin as below.

Preventing SQL Injection

有许多方法可以防止卡片注入。 编制者在撰写该守则时,应确保其处理特殊性质。 环保事务办公室提供的che片/预防技术无疑是开发商的指南。

Using Parameterized Queries

Escaping all User Suppped Input

Enable Least Privilege for the database for the end users

Testing Broken Authentication

如果与申请有关的认证职能没有得到正确执行,则允许黑客损害密码或会议设计书或利用其他用户证书的其他执行缺陷。

让我们在简单图表的帮助下理解这一缺陷的威胁代理人、攻击者、安全弱点、技术影响和商业影响。

Example

An e-commerce apppcation supports URL rewriting, putting session IDs in the URL −

http://example.com/sale/saleitems/jsessionid=2P0OC2JSNDLPSKHCJUN2JV/?item=laptop

该网站的一个经认证的用户将URL传给他们的朋友,了解贴现的销售情况。 他将上述链接发送电子邮件,但不知道用户也放弃会议登记。 当他的朋友使用该链接时,他们使用他的会议和信用卡。

Hands ON

当我们使用全权证书网关/网关时,我们从Burp Suite那里发现,SESSION ID是C8F3177CCAFF 380441ABF71090748F2E,而AusthCookie = 65432ubphcfx经成功认证。

当我们使用证书方面/标语时,我们从Burp Suite那里发现,共同就业指数为C8F3177CCAFF380441ABF71090748F2E,而AusthCookie = 65432udfqtb在成功认证时。

Step 4——现在我们需要分析奥思科模式。 前半部分65432对两种认证都是常见的。 因此,我们现在有兴趣分析诸如网络用户的泡沫和用户的ud。

如果我们深入审视奥特克西的价值观,最后一部分时间与用户名称相同。 因此,使用用户名称显然采用某种加密方法。 在审判和错误/动武机制之后,我们发现,在改变用户名称、网络戈塔之后,我们最后是塔格布瓦,然后是阿斯特克西语以前的字母特征。 i.e ubphcfx。

如果我们通过这一 co子,让我们看一看所发生的情况。 在认证用户网络时,将AusthCookie值改为对用户Apce进行模拟,即通过实施第4步和第5步,找到AusthCookie。

Preventing Mechanisms

• 制定强有力的认证和届会管理控制,使其符合住房和财产管理局申请安全核查标准中规定的所有认证和届会管理要求。

开发商应当确保避免可能用来偷窃会议身份证的XSS缺陷。

Testing Cross-Site Scripting

每当申请获得未经验证的数据并发送给客户(浏览器)时,就会出现交叉校正。 这使得攻击者能够在受害者浏览器上执行恶性文字,从而导致用户会议被劫持,破坏网站,或将用户转移到恶意网站。

让我们在简单图表的帮助下理解这一缺陷的威胁代理人、攻击者、安全弱点、技术影响和商业影响。

Types of XSS

Stored XSS——在用户投入储存在数据库/主题论坛/讨论领域等目标服务器上时,也称为持久性XSS。 然后,受害者能够从网络应用中检索所储存的数据。

Reflected XSS——在用户投入立即通过网络应用在错误信息/研究结果或用户作为请求的一部分提供的投入中退回时,也即反映XSS,而不永久储存所提供的数据。

- 在数据来源位于OMS时,基于OMS的XSS是一种XSS的一种形式,电汇也位于OM,数据流从未离开浏览器。

Example

申请使用未经验证的建筑中使用未经委托的数据。 特殊性应当逃脱。

http://www.webpage.org/task/Rule1?query=try

袭击者将弹 que参数 mo到——

http://www.webpage.org/task/Rule1?query=<h3>Hello from XSS"</h3>

Hands ON

-Login to Webgoat and navigate to cross-site scripting (XSS) Section。 让我们实施一个储存的跨站点文字攻击。 下面是假设情景的概要。

按照这一设想,让我们像设想方案本身提到的那样,把言词 log成汤。 浮点观察概况,并采用ed化模式。 既然是袭击者,我们就把 Java片注入这些it箱。

<script> 
   alert("HACKED")
</script> 

更新工作一旦结束,即收到一个警示箱,其电文是“被打”的,这意味着该信很脆弱。

Step 4——现在,根据设想,我们需要将轮渡作为轮渡,并检查轮渡是否受到注射器具的影响。

Step 5——在杰里进行伐木之后,选择了Tom和点击图像,如下所示。

在从杰里的账户看清情况时,他能够找到同一个信息箱。

这一信息箱只是一个例子,但实际攻击者只能展示一个信息箱。

Preventive Mechanisms

编制者必须确保他们能够根据超文本框架,如将数据输入的体质、属性、 Java、 C、心脏或URL,逃避所有未信任的数据。

对于需要特殊性质的申请,作为投入,在接受它们为有效投入之前,应当建立强有力的验证机制。

Insecure Direct Object References

如果不建立任何验证机制,让攻击者操纵这些提及获取未经许可的数据时,开发商可能会直接提及内部执行物体,如档案、目录或数据库钥匙。

让我们在简单图表的帮助下理解这一缺陷的威胁代理人、攻击者、安全弱点、技术影响和商业影响。

Example

应用程序在正在获取账户信息的电传中使用未经核实的数据。

String sqlquery = "SELECT * FROM useraccounts WHERE account = ?";
PreparedStatement st = connection.prepareStatement(sqlquery, ??);
st.setString( 1, request.getParameter("acct"));
ResultSet results = st.executeQuery( );

袭击者将弹道参数 mo到Admin。

http://webapp.com/app/accountInfo?acct=admin

Hands ON

档案在目前的目录中展示的路程是实地的:C:UsersuserName$.extractwebappsWebGoatlesson_plansen,我们也知道,托马散星用户档案存放在C:xampp omcatconf。

我们需要从目前的目录和航道中 all出一切。 我们能够通过拦截使用Burp Suite的交通来做到这一点。

如果这一尝试取得成功,则显示散射用户xml带“Congratulations”。 你成功地完成了这一教训。

Preventive Mechanisms

开发商可使用以下资源/点作为指南,防止在开发阶段本身出现不可靠的直接物体。

开发商只应使用一个用户或一个届会作为间接物体参考。

还建议在使用未经委托的源头直接标注之前检查出入情况。

Security Misconfiguration

当安全环境被界定、实施和维持为违约时,便会出现安全混乱。 良好的安全需要一个安全配置,用于应用、网络服务器、数据库服务器和平台。 更新软件也同样重要。

Example

某些典型的安全配置不公的实例是:

如果目录在服务器上没有残疾,如果攻击者发现同样的话,袭击者只能列出目录,以便找到任何档案并加以执行。 还有可能获得包含你们所有习俗法典的实际法典基础,然后在申请中发现严重缺陷。

应用服务器配置可以向用户归还 st痕,从而有可能消除潜在的缺陷。 袭击者抓住错误信息提供的这些额外信息,这些信息足以使其渗透。

应用服务器通常会收到一些取样器,这些器具没有很好的安全保障。 如果不从生产服务器中删除,就会损害服务器。

Hands ON

Step 1——发射Webgoat和导航到不安全的配置科,让我们努力解决这一挑战。 下表提供了同样的情况:

我们可以像我们想象的那样,尝试尽可能多的选择。 我们大家都需要找到汇号的URL,我们知道,开发商遵循的是集散文档命名公约。 它可以是以下所列内容。 通常由BRUTE部队技术进行。

web.config

config

appname.config

conf

在尝试各种选择时,我们发现http:// localhost:80/WebGoat/conf是成功的。 如果尝试成功,则展示以下一页:

Preventive Mechanisms

一切环境,如发展、质量保证和生产环境,都应采用不能轻易破灭的每一种环境中所用的不同密码加以配置。

确保采用强有力的应用架构,有效、有保障地区分各组成部分。

它还可以通过运行自动扫描和定期进行审计,尽可能减少这种攻击的可能性。

Security Testing - Sensitive Data Exposure

由于在线应用程序每天都在淹没互联网,因此并非所有应用都得到保障。 许多网络应用没有适当保护敏感用户数据,如信用卡信息/银行账户信息/认证证书。 哈萨克人可能最终偷窃这些受保护薄弱的数据,以进行信用卡欺诈、身份盗窃或其他犯罪。

让我们在简单图表的帮助下理解这一缺陷的威胁代理人、攻击者、安全弱点、技术影响和商业影响。

Example

安全结构混乱的一些典型例子如下:

某个网站根本不使用SSL所有经认证的网页。 这使得攻击者能够监测网络交通,偷窃用户会议 co,劫持用户会议或获取其私人数据。

申请在数据库中以加密格式储存信用卡号码。 检索后,他们被加密,允许黑客进行“King”式攻击,以在明确案文中检索所有敏感信息。 可以通过使用公用钥匙对信用卡号码进行加密,并允许后继申请与私人钥匙进行加密,避免这种情况。

Hands ON

。 情况如下所示。

Step 2——进入用户名和密码。 我们现在应当学习我们先前讨论的不同类型的编码和加密方法。

Preventive Mechanisms

建议它不要不必要地储存敏感数据,如果不再需要,应尽快予以撤销。

必须确保我们采用强有力的标准加密算法,并实行适当的关键管理。

也可以避免,就收集敏感数据的形式,例如密码和含有敏感数据页的可拆分,进行拆解。

Missing Function Level Access Control

大多数网络应用在使用户能够使用这一功能之前核查功能水平的使用权。 然而,如果服务器上没有进行同样的出入控制检查,则黑客能够在未经适当授权的情况下进入申请。

让我们在简单图表的帮助下理解这一缺陷的威胁代理人、攻击者、安全弱点、技术影响和商业影响。

Example

这里是“功能水平缺失控制”的典型例子。

这些黑客只是以URLs为目标。 通常,行政准入需要认证,但如果申请的查阅未经核实,则未经认证的用户可以进入行政网页。

  Below URL might be accessible to an authenticated user
http://website.com/app/standarduserpage

  A NON Admin user is able to access admin page without authorization.
http://website.com/app/admin_page

Hands ON

让我们首先通过用户名单及其访问特权,成为账户管理人。

在尝试各种组合时,我们可以发现,Larry可以接触到资源账户管理人。

Preventive Mechanisms

认证机制应不准许一切缺席,并为每个职能提供具体作用。

在以工作流程为基础的应用中,在允许用户获得任何资源之前,对用户状况进行核实。

Cross-Site Request Forgery(CSRF)

伊斯兰法院联盟发动攻击,迫使一个经认证的用户(受害者)发出伪造的吉卜赛人的请求,包括受害者会议堂表,以回应一个脆弱的网络应用程序,使攻击者能够迫使受害者浏览器提出要求,使弱势者认为是受害者的合法要求。

让我们在简单图表的帮助下理解这一缺陷的威胁代理人、攻击者、安全弱点、技术影响和商业影响。

Example

这里是欧洲公路网的一个典型例子。

让我们说,脆弱的申请发出了国家更改要求,将其作为一个不作任何加密的便捷文本。

http://bankx.com/app?action=transferFund&amount=3500&destinationAccount=4673243243

如今,黑客们提出把钱从受害者账户转至攻击者账户的要求,把请求放在被攻击者控制的各个地点保存的形象中——

<img src = "http://bankx.com/app?action=transferFunds&amount=14000&destinationAccount=attackersAcct#" 
   width = "0" height = "0" />

Hands ON

让我们通过将 Java印成像来进行CSRF伪造。 问题简介如下。

现在,我们需要改变向1x1图像的转移,使受害者能够点击。

Step 3——在发出电文后,电文如下所示。

现在,如果受害人点击了下述URL,则进行移交,可以发现这套设备使用bur套拦截用户的行动。 我们能够看到转让,把转让放在“Get”信息中,如下所示:

现在,在点击复时,便显示完成点。

Preventive Mechanisms

可以通过在一个隐藏的领域中创建独一无二的标志来避免采用聚苯胺,在吉大港山区的请求中,而不是在较易接触的URL中发出。

要求用户重新认证或证明他们是用户,以保护通用报告格式。 例如,防止酷刑协会。

Components with Vulnerabipties

这种威胁发生时,诸如图书馆和应用程序等构成部分几乎总是以完全的特权执行。 如果利用弱势部分,则使黑客的工作更容易造成严重数据损失或服务器占用。

让我们在简单图表的帮助下理解这一缺陷的威胁代理人、攻击者、安全弱点、技术影响和商业影响。

Example

以下实例是使用已知脆弱性的部件:

攻击者不能提供象征性身份,即可在完全许可的情况下援引任何网络服务。

借助于 Java的春天框架,采用带有语言注射脆弱性的遥控编码。

Preventive Mechanisms

不仅仅限于数据库/框架,还查明网络应用中正在使用的所有组成部分和版本。

更新公共数据库、项目邮寄名单等所有组成部分。

添加安全包裹,内容是脆弱的。

Unvapdated Redirects and Forwards

互联网上的大多数网络应用经常向其他网页或其他外部网站转播用户,并转播用户。 然而,在不证实这些网页的可信性的情况下,黑客可以将受害者转向营养化或mal磨点,或使用未经许可的网页。

让我们在简单图表的帮助下理解这一缺陷的威胁代理人、攻击者、安全弱点、技术影响和商业影响。

Example

某些未经验证的转子和前线的典型例子如下:

让我们说,申请有一页,即直线,直线。 该黑客还增加了一种恶毒的URL,把那些从事养成/装饰的用户转往。

http://www.mywebapp.com/redirect.jsp?redirectrul=hacker.com

所有网络应用都用于向网站的不同部分传送用户。 为了达到同样的目的,有些网页使用一个参数,以表明如果业务成功,用户应当重新定位。 袭击者手工艺了一辆载有申请出入控制检查的URL飞机,然后将袭击者转至攻击者无法进入的行政功能。

http://www.mywebapp.com/checkstatus.jsp?fwd=appadmin.jsp

Preventive Mechanisms

最好避免使用转头和转头。

如果是不可避免的,那么就应当在不涉及用户参数的情况下调整目的地。

AJAX Security

Asynchronous Javascript and XML (AJAX) is one of the recent technology used to develope web apppcation inorder to give arichuser experiences. 由于这是一种新技术,许多安全问题尚待确定,下文是非洲复兴开发银行的几个安全问题。

攻击面越多,就越有投入。

它还暴露了申请的内部功能。

未能保护认证信息和会议。

客户与服务器之间的界限非常狭窄,因此有可能犯安全错误。

Example

AJAX Security -

2006年,一家协会使用XSS和AJAX,利用雅虎邮局在载荷活动中的脆弱性,感染了hoo。 当一个受感染的电子邮件开放时,虫药店铺设了 Java本,向被感染的使用者的所有雅虎人发送了副本。

Hands ON

我们需要努力利用XML注入,对你的奖励办法给予更多的奖励。 下面是假设情景的概要。

Step 2——确保我们利用Burp Suite拦截申请和答复。 情况如下。

计入假设情景中的账号。 我们将能够获得一份我们有资格获得的所有奖励清单。 我们有资格获得5项奖励中的3项。

Step 4——现在,让我们点击分机,看我们在XML的答复中的内容。 如下文所示,我们有资格得到的三项奖励,均作为“XML”发给我们。

现在,让我们ed开这些十ML,并增加另外两项奖励。

现在,所有奖励都将展示给用户,供他们选择。 选择我们增加的内容,并点击Submit。

以下信息似乎是说:“* 祝贺。 你成功地完成了这一教训。

Preventive Mechanisms

客户方面

Use .innerText instead of .innerHtml.

Do not use eval.

Do not rely on cpent logic for security.

Avoid writing seriapzation code.

Avoid building XML dynamically.

Never transmit secrets to the cpent.

Do not perform encryption in cpent side code.

Do not perform security impacting logic on cpent side.

服务器方面

Use CSRF protection.

Avoid writing seriapzation code.

Services can be called by users directly.

Avoid building XML by hand, use the framework.

Avoid building JSON by hand, use an existing framework.

Security Testing - Web Service

在现代网络应用中,网络服务的使用是不可避免的,也很容易受到攻击。 由于网络服务要求多个网站开发商打耳光,因此不得不采取一些额外措施,以避免黑客渗透。

Hands ON

。 我们现在需要获得其他一些账户号码的信用卡细节。 情况简介如下。

如果我们选择第一个名字,通过SOAP请求xml发出“新世纪”功能呼吁。

通过开放发展信贷中心,我们可以看到,有办法检索信用卡信息,并获取信用卡信息。 现在,让我们改变使用Burp公司的投入,如下文所示:

现在,让我们修改使用Burp案的投入,如下文所示:

我们可以获得其他用户的信用卡信息。

Preventive Mechanisms

由于SOAP信息以XML为基础,所有通过全权证书都必须转换为文本格式。 因此,在传递必须始终加以加密的敏感信息时,必须十分谨慎。

通过实施检查等机制保护信息的完整性,以确保包装的完整性。

保护电文保密——对称加密用于保护对称会议钥匙,而在许多实施过程中,这些钥匙只适用于一种通信,随后被抛弃。

Security Testing - Buffer Overflows

当一个方案试图在一个临时数据储存区(布图)储存更多的数据时,会产生缓冲超支。 由于设立了缓冲地带,以控制一定数量的数据,因此额外信息可能过度流入邻近的缓冲地带,从而腐蚀了它们持有的有效数据。

Example

这里是缓冲外流的一个典型例子。 它显示了第一个依靠外部数据控制其行为的设想所引发的简单的缓冲外流。 没有任何办法限制用户输入的数据数量,方案的行为取决于用户的特性。

   ...
   char bufr[BUFSIZE]; 
   gets(bufr);
   ...

Hands ON

我们需要标出名称和房间号码,以便上网。 这里的情况是假想。

我们还将使布鲁普 Suite的“隐藏形式田”能够做到如下:

现在,我们在名称和会议室编号领域提出意见。 我们还在房间数量领域尝试并注入大量人员。

隐藏的田地如下所示。 我们点击接受术语。

这次袭击是成功的,因为缓冲溢流,它开始阅读邻近的记忆点,并向用户展示如下。

现在让我们利用所展示的数据。 在伐木之后,展示了以下信息:

Preventive Mechanisms

Code Reviewing

Developer training

Compiler tools

Developing Safe functions

Periodical Scanning

Security Testing - Denial of Service

拒绝服务攻击是黑客企图使网络资源无法利用。 它通常中断与互联网连接的东道方,无论是临时的还是无限期的。 这些袭击通常针对在银行、信用卡付款网关等特派团关键网络服务器上提供的服务。

Symptoms of DoS

Unusually slow network performance.

Unavailabipty of a particular web site.

Inabipty to access any web site.

Dramatic increase in the number of spam emails received.

Long term denial of access to the web or any internet services.

Unavailabipty of a particular website.

Hands ON

。 情况简介如下。 我们需要多次沉积,破坏最大行经群的规模。

首先,我们需要获得有效标识清单。 我们在此案中使用了注射。

如果尝试成功,则向用户展示所有有效证书。