iT邦幫忙

webgoat相關文章
共有 18 則文章
鐵人賽 Security DAY 30

技術 [Day 30] 完賽但不是結束

嘿!不知不覺竟然來到第30天了,先稍微寫個完賽感想吧。 真的覺得30天發文這個活動很棒,不論寫多寫少,每天都能有至少一小時的時間是在複習舊知識或是學習新知識,而...

鐵人賽 Security DAY 29

技術 [Day 29] 來玩WebGoat!之17:Request Forgeries

今天要來介紹的是請求偽造 (Request Forgeries)的課程,在這個課程中會介紹何謂跨站請求偽造 (Cross-Site Request Forger...

鐵人賽 Security DAY 28

技術 [Day 28] 來玩WebGoat!之16:Access Control Flaws - Missing Function Level Access Control

大家好,今天原本要繼續介紹昨天不安全的直接物件參考的挑戰,但不知道為什麼,我的每台電腦都無法正常執行當中的關卡,但又沒時間看錯誤在哪裡了,只好先跳到下一個遺失功...

鐵人賽 Security DAY 27

技術 [Day 27] 來玩WebGoat!之15:Access Control Flaws - Insecure Direct Object References 1

今天開始要介紹的是存取控制缺陷(Access Control Flaws)的課程,裡面包含兩個單元,分別是不安全的直接物件參考 (Insecure Direct...

鐵人賽 Security DAY 26

技術 [Day 26] 來玩WebGoat!之14:Insecure Communication - Insecure Login

今天要介紹的是不安全的登入 (Insecure Login),而這一個課程主要要介紹的概念是,如果今天你要設計一個含有登入功能的網頁,一定記得在送出資料的時候要...

鐵人賽 Security DAY 25

技術 [Day 25] 來玩WebGoat!之13:Authentication Flaws - JWT tokens 3

今天接續昨天最後提到的acces token跟refresh token,直接進入第7步的練習吧!在這一題中,我們需要以昨天提到的access token及re...

鐵人賽 Security DAY 24

技術 [Day 24] 來玩WebGoat!之12:Authentication Flaws - JWT tokens 2

接續昨天還沒完成的JWT練習,今天來看看第5步的挑戰,其實這一題跟昨天的練習蠻類似的,他只是要我們把JWT解碼後,再把USERID改為WebGoat,並找出密鑰...

鐵人賽 Security DAY 23

技術 [Day 23] 來玩WebGoat!之11:Authentication Flaws - JWT tokens 1

今天繼續來介紹Authentication Flaws,接著就來看看JWT tokens的部分吧! JWT tokens JSON Web Token (JWT...

鐵人賽 Security DAY 22

技術 [Day 22] 來玩WebGoat!之10:Authentication Flaws - Authentication Bypasses

今天來介紹Authentication Flaws這個課程,簡單來說就是利用網頁中身分認證的設計缺陷,進而達到取得帳號權限目的的意思,而在WebGoat中將這個...

鐵人賽 Security DAY 21

技術 [Day 21] 來玩WebGoat!之9:XXE Injection 3

今天是XXE課程第4步的練習,今天的練習跟昨天的有點類似,只是今天的挑戰要特別說明現代人愛用的REST架構可能會遇到的XXE Injection風險。 表現層...

鐵人賽 Security DAY 20

技術 [Day 20] 來玩WebGoat!之8:XXE Injection 2

今天來解看看挑戰題吧,首先是第3步的題目,題目希望我們可以用XXE的方式列出root目錄下的資料夾。首先先在留言欄輸入test試試看,利用ZAP來攔截訊息,發現...

鐵人賽 Security DAY 19

技術 [Day 19] 來玩WebGoat!之7:XXE Injection

今天要來介紹的是XML External Entity (XXE) injection漏洞,這個漏洞其實跟之前介紹的SQL Injeciton有那麼一點點的相似...

鐵人賽 Security DAY 18

技術 [Day 18] 來玩WebGoat!之6:SQL Injection (advanced) - Blind SQL Injection

接著來介紹一種叫做Blind SQL Injection的技術,它也是SQL Injection的一種,但跟我們之前介紹的SQL Injection有點差異。之...

鐵人賽 Security DAY 17

技術 [Day 17] 來玩WebGoat!之5:SQL Injection (advanced)

今天來繼續下一個課程吧,也就是進階版的SQL Injection技巧,而要使用這些進階版的技巧,就必須要自己本身也熟悉SQL式的使用技巧,如此一來才能活動這項邪...

鐵人賽 Security DAY 16

技術 [Day 16] 來玩WebGoat!之4:SQL Injection

今天我們進到SQL Injection的課程,相信大家或多或少都有聽過他的大名,那到底什麼是SQL Injection呢? 首先,SQL是一種跟資料庫進行溝通的...

鐵人賽 Security DAY 15

技術 [Day 15] 來玩WebGoat!之3:HTTP Proxies & OWASP ZAP

接下來進到HTTP Proxies的部分,在這邊主要是要讓讀者可以了解Proxy的概念,以及學會如何使用一些流量攔截工具。 那首先就來介紹一下Proxy是什麼吧...

鐵人賽 Security DAY 14

技術 [Day 14] 來玩WebGoat!之2:HTTP Method

昨天把WebGoat安裝好了,今天就趕快來實際玩看看吧~ 首先利用昨天的指令把WebGoat啟動,並把網頁打開後,會看到一個登入的介面,因此我們需要先點選Reg...

鐵人賽 Security DAY 13

技術 [Day 13] 來玩WebGoat!之1:安裝

在介紹WebGoat的第一天,我們先來介紹如何安裝這套軟體,目前這套軟體在Windows、Linux及OS X上都可以執行。 第一步,先確認電腦上有安裝JRE。...