WEBGoat實驗報告

1、WebGoat實驗報告一、WebGoat 項目簡介 WebGoat是OWASP組織研制出的用于進行web漏洞實驗的應(yīng)用平臺，用來說明web應(yīng)用中存在的安全漏洞。WebGoat運行在帶有JVM的平臺上，當(dāng)前提供的訓(xùn)練課程有30多個，其中包括：跨站點腳本攻擊（XSS）、訪問控制、線程安全、操作隱藏字段、操縱參數(shù)、弱會話cookie、SQL盲注、數(shù)字型SQL注入、字符串型SQL注入、web服務(wù)、Open Authentication失效、危險的HTML注釋等等。WebGoat提供了一系列web安全學(xué)習(xí)的教程，某些課程也給出了視頻演示，指導(dǎo)用戶利用這些漏洞進行攻擊。二、WebGoat的安裝WebGoa

2、t 可以在網(wǎng)上下載到，運行其中的“webgoat_8080.bat”即可。在運行前，需要將代理設(shè) 置為 localhost，端口 8008。 在瀏覽器中輸入 http:/localhost:8080/WebGoat/attack 登錄，如果啟動了 Webscarab，則在瀏覽器 輸入 http:/localhost.:8080/WebGoat/attack。初始用戶名密碼是 guest。 也可以在WebGoat-5.2tomcatconftomcat-users.xml 修改用戶名與密碼。 也可以在WebGoat-5.2tomcatconfserver_80.xml 文件中修改端口。三、Web

3、Goat的使用3.1 先修課之Http基礎(chǔ)知識 HTTP(Hypertext transfer protocol)-超文本傳輸協(xié)議，是一種詳細(xì)規(guī)定了瀏覽器和萬維網(wǎng)服務(wù)器(www)之間互相通信的規(guī)則，通過因特網(wǎng)傳送萬維網(wǎng)文檔的數(shù)據(jù)傳送協(xié)議。運行于OSI模型的應(yīng)用層，由請求和響應(yīng)兩部分構(gòu)成。HTTP協(xié)議是無狀態(tài)的協(xié)議。無狀態(tài)指HTTP協(xié)議對于事務(wù)處理沒有記憶力。缺少事務(wù)狀態(tài)意味著若后續(xù)處理需要前面的信息，則必須重傳，可能導(dǎo)致每次連接傳送的數(shù)據(jù)量增大?；谑聞?wù)處理的需要，出現(xiàn)了cookie和session技術(shù)。 在瀏覽器設(shè)置中增加一個 localhost 的代理，然后可以啟動 WebScarab。我

4、們需要在“攔截（Intercept）”選項卡中選擇“攔截請求（intercept request）”。在頁面輸入框中填寫上您的名字（“Your Name”）后，單擊【Go!】按鈕提交數(shù)據(jù)。在 WebScarab 的新窗口中，我們可以找到參數(shù)“person”。3.2 HTTP 拆分攻擊者在向 Web 服務(wù)器正常輸入的請求中加入惡意代碼，受到攻擊的應(yīng)用不會檢查 CR （回車，也可表示為%0d 或r）和 LF（換行，也可表示為%0a 或n）。這些字符不僅使攻擊 者控制應(yīng)用程序打算發(fā)送的響應(yīng)頭和響應(yīng)體，而且還使他們能夠完全在其控制下創(chuàng)造更多的 答復(fù)。 HTTP 拆分攻擊配合緩存污染一起使用，能使效果達

5、到最大化。緩存污染攻擊的目標(biāo)是 使緩存污染，欺騙緩存，使其相信使用 HTTP 拆分劫持的頁面是一個很正常的頁面，是一個 服務(wù)器的副本。攻擊發(fā)生時，使用 HTTP 拆分攻擊，加上最后修改添加的部分：請求頭，并 設(shè)置它為將來的日期。這將迫使瀏覽器發(fā)送 IfModifiedSince 請求頭，這使攻擊者有機會 攔截服務(wù)器的答復(fù)，并代之以一個“304 不修改”答復(fù)。用戶需要使用 LF， %0a 由于輸入內(nèi)容未作驗證您可以插入任何 HTTP 語法，回車和換行符。 隨便輸入一個語言名稱提交看看數(shù)據(jù)都是怎么交互的。請確認(rèn) WebScarab 的請求攔截 和返回攔截功能已經(jīng)啟用。語言框輸入“en”，并提交數(shù)據(jù)

6、。 3.3 訪問控制缺陷 在一個基于角色的訪問控制方案中，角色代表了一組訪問權(quán)限和特權(quán)。一個用戶可以被 分配一個或多個角色。一個基于角色的訪問控制方案通常有兩個部分組成：角色權(quán)限管理和 角色分配。一個被破壞的基于角色的訪問控制方案可能允許用戶執(zhí)行不允許他/她的被分配 的角色，或以某種方式允許特權(quán)升級到未經(jīng)授權(quán)的角色的訪問。先選擇一個用戶，再選擇一個資源，然后點擊【Check Access】，出現(xiàn)頁面如下圖所示：在 Select resource 選項中選中下一個資源 Time Card Entry，然后是點擊【Check Access】，出現(xiàn)頁面如下所示：3.4 繞過基于路徑的訪問控制方案在一

7、個基于路徑的訪問控制方案中，攻擊者可以通過提供相對路徑信息遍歷路徑。因此， 攻擊者可以使用相對路徑訪問那些通常任何人都不能直接訪問或直接請求就會被拒絕的文 件。選中“Choose the file to view”列表下的任何一個文件，然后點擊【View File】，用 WebScarab 工具截獲向服務(wù)器發(fā)送的請求，如圖所示：3.5基于角色的訪問控制 在一個基于角色訪問控制的方案中，角色代表一組訪問權(quán)限和特權(quán)。一個用戶可以被分 配一個或多個角色，一個基于角色的訪問控制通常包括兩個部分：角色權(quán)限管理和角色分配。 一個被破壞的基于角色的訪問控制方案，可能允許用戶以沒有分配他/她的角色或以某種方

8、式獲得的未經(jīng)授權(quán)的角色進行訪問。3.6 小實驗：客戶端過濾 服務(wù)端只向客戶端發(fā)送其只能訪問到的數(shù)據(jù)。在本課程中，服務(wù)端向客戶端發(fā)送了過多 的數(shù)據(jù)，由此產(chǎn)生了一個嚴(yán)重的訪問控制問題。通過【Select user】下拉菜單查詢其它數(shù)據(jù)。在有返回數(shù)據(jù)的時候使用 Firebug 或 WebScarab 查看源代碼或返回數(shù)據(jù)。找到 Neville 的薪水信息。四、總結(jié)收獲不小，以前直接看書，沒有實戰(zhàn)，理解方面差很多，還看不進去。有了測試平臺后，聯(lián)系實戰(zhàn)，對于知識的理解有很大的幫助。課程設(shè)置有點問題，有時候檢測通過方法過于單一。由于平臺是英文，所以順帶鍛煉英語了。對于自己從未接觸過得東西，完成起來問題很大。如果是熟悉的知識，則能很輕松的完成。比如說XML我就沒用過，導(dǎo)致那個過濾的代碼不會寫。查了資料，過于片面，也沒有解決問題。Access Control Flaws 中的 Remote Ad