iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 14
1
Security

資安補漏洞,越補越大洞系列 第 14

[Day 14] 來玩WebGoat!之2:HTTP Method

昨天把WebGoat安裝好了,今天就趕快來實際玩看看吧~

首先利用昨天的指令把WebGoat啟動,並把網頁打開後,會看到一個登入的介面,因此我們需要先點選Register new user來建立一個新帳戶。

https://ithelp.ithome.com.tw/upload/images/20181029/20107304QMAr8VHtwy.png

接著輸入帳號密碼及確定注意事項後就完成啦!不過請注意,你在每台不同的機器上想使用WebGoat並登入的話,都要重新申請帳號喔。

https://ithelp.ithome.com.tw/upload/images/20181029/20107304JCRn5VHrk7.png

回到登入頁面登入後,可以看到首頁畫面如下,而畫面右邊的就是可以選擇的課程選單,選單中第一項的Introduction就是現在畫面上顯示的頁面。

https://ithelp.ithome.com.tw/upload/images/20181029/201073049A8U3gugZT.png

課程頁面上有一個Reset lesson的按鈕,等你完成部分或全部課程後,如果想重新挑戰課程的話就可以點選這個按鈕並重新開始。

有些頁面會有一個Show hints的按鈕可以按,如果有這個按鈕出現的話,代表當下的課程中挑戰是有提示可以看的,如果不確定怎樣進行挑戰的記得可以按這個按鈕看看喔。

https://ithelp.ithome.com.tw/upload/images/20181029/20107304t9j8hG5ggk.png

每個課程中會有像下圖一樣的數字可以選擇,這代表的是每個課程中裡不同說明、練習或挑戰等,而每個數字並不需要依序點選,你想先做第3項的挑戰就直接點他就好。

https://ithelp.ithome.com.tw/upload/images/20181029/20107304FvKJgVAyCd.png

介紹完頁面操作方式,接下來就開始挑戰吧!

General - HTTP Basics
首先在第1步介紹的是瀏覽器與網頁應用程式中是如何傳遞資料的,而在這個課程中,希望使用者可以了解 HTTP請求與回應的格式,包含GET、POST等請求方法 (Request Method)及HTTP標頭 (HTTP Header)及內文等部分。

https://ithelp.ithome.com.tw/upload/images/20181029/20107304X4yxz5OR3N.png

第2步則是請使用者在欄位中輸入名字,然後畫面會把你輸入的東西前後顛倒後顯示在下面,而根據程式碼我們可以發現這個表格使用POST的方式把字串傳出去。

https://ithelp.ithome.com.tw/upload/images/20181029/20107304H012zQIqJW.png

第3步是兩個簡單的問題,主要看使用者是不是能夠熟悉在這個課程中學到的概念,根據先前的練習,第一題的答案就是「POST」;第二題問我們magic number是什麼?在搞不清楚的狀況下決定先留空白按下送出試試看,接著發現我們送出去的Request竟然包含一個叫做「magic_num」的參數,而我們再直接觀察程式碼,也發現這個表單裡有一個隱藏的表單欄位,並存了「magic_num」的值在其中。

https://ithelp.ithome.com.tw/upload/images/20181029/201073040bbUoNnKI9.pnghttps://ithelp.ithome.com.tw/upload/images/20181029/20107304DLBswWI7Kb.png

至此,我們已經知道兩題的答案,因此輸入後就通過第3步的挑戰啦!

https://ithelp.ithome.com.tw/upload/images/20181029/20107304Idfm75SeFD.png

今天就先介紹到這裡,相信第一個課程對於曾經寫過HTML的朋友都不是難以理解的內容吧,那就明天見囉~


上一篇
[Day 13] 來玩WebGoat!之1:安裝
下一篇
[Day 15] 來玩WebGoat!之3:HTTP Proxies & OWASP ZAP
系列文
資安補漏洞,越補越大洞30

尚未有邦友留言

立即登入留言