WebGoat Client side -- HTML tampering

最新推荐文章于 2025-09-27 10:43:13 发布
原创 最新推荐文章于 2025-09-27 10:43:13 发布 · 643 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #java #jsp #html #web

本文介绍了如何使用burpsuite和开发者工具解决WebGoat的HTML篡改挑战。通过修改HTTP包或直接编辑HTML隐藏字段,以低价购买商品,强调了不要信任客户端数据的重要性,所有计算和验证应服务器端完成。

目录

一、习题通关

第2页

方法一、常规:burpsuite改包

方法二、烦躁:用开发者工具找找找

二、总结思考

一、习题通关

第2页

这一课其实非常简单,有两种方法可以解

方法一、常规:burpsuite改包

准备好burpsuite,网页上啥也不用改,点checkout按钮

burpsuite抓到的包有两个参数,QTY和Total

根据这题的意思,要以低价买东西,所以QTY可以不动也可以增加,把Total改成低于正常总价的值,比如0,发送之后即可通关

方法二、烦躁:用开发者工具找找找

最低0.47元/天 解锁文章
WebGoat Client side -- Client side filtering
箭雨镜屋
06-06 1054
一、习题通关 第2页 背景:作为CSO,可以看到除CEO(Neville Bartholomew)之外的其他员工的工资,没有权限看CEO的工资 任务:找到CEO(Neville Bartholomew)的工资 解题步骤: 这题老简单了,2步过关 1、准备好burpsuite抓包,网页上select user选项框那里随便选一个人 2、如上图所示,网页上看确实只能看到一个员工的 ,但是burpsuite里面可就不是了,在proxy模块http history中找到下图这个url,看Res
WebGoat Client side -- Bypass front-end restrictions
箭雨镜屋
06-05 1010
目录 一、习题通关 第2页 第3页 二、课程内容 一、习题通关 简单到会用burpsuite改包就能过 第2页 要求:绕过4种输入类型的限制 4种限制分别是: (1)菜单(<select>标签) (2)单选(<input>标签,type="radio") (3)多选(<input>标签,type="checkbox") (4)有长度限制的输入(<input type="text" value="12345" name="shortInput
WebGoat - 刻意设计的不安全Web应用程序
最新发布
AI工程化、开源分享、文档翻译、代码笔记
09-27 440
一、关于 WebGoat 1、项目概览 2、相关链接资源 3、功能特性 二、安装配置 1、Docker运行方式 2、带桌面环境的Docker运行 3、独立运行 4、源码编译运行 三、高级配置 1、自定义菜单
webgoat-client side 客户端问题
seanyang_的博客
11-07 619
用户对 Web 应用程序的前端有很大程度的控制权。它们可以更改 HTML 代码,有时也可以更改脚本。这就是为什么 需要特定输入格式的应用也应在服务器端进行验证,而不是只在前端做限制。
webgoat
03-16
WebGoat:故意不安全的Web应用程序 重要信息 WebGoat课程服务器当前处于主要开发阶段。 从2016年2月1日起,版本“ 7.0.1”被视为主要体系结构和UI更改的第一个STABLE版本。 WebGoat的旧版/旧版可以在以下找到: WebGoat是由维护的故意不安全的Web应用程序,旨在教授Web应用程序安全性课程。 该程序演示了常见的服务器端应用程序缺陷。 这些练习旨在供人们用来学习应用程序安全性和渗透测试技术。 警告1:在运行该程序时,您的计算机极易受到攻击。 使用此程序时,应断开与Internet的连接。 WebGoat的默认配置绑定到本地主机,以最大程度地减少暴露。 警告2:此程序仅用于教育目的。 如果未经授权尝试使用这些技术,很可能会被抓住。 如果您被发现从事未经授权的黑客攻击,大多数公司都会开除您。 声称您正在进行安全性研究不会奏效,因为这是所有黑客都宣称
精选资源
webgoat-server-8.1.0.jar
04-04
webgoat-server-8.1.0
webgoat-container-7.1-exec.jar
08-30
WebGoat是OWASP(Open Web Application Security Project)开发的用于Web漏洞演示与验证的平台。该平台包含了访问控制、AJAX安全、认证失效、缓冲区溢出、代码质量、并行性、XSS、不正确的错误控制、注入缺陷、DoS、...
精选资源
webgoat-server-8.2.1
09-02
webgoat-server-8.2.1
WebGoat -- AJAX Security
小英雄颂人头
03-11 752
0xx3 AJAX Security(Ajax安全性) Same Origin Policy Protection(同源政策保护) 依次向URL框框中输入以下网址(也可以直接点击下方链接),观察发现,只能访问同一数据资源,非同源访问失败 lessons/Ajax/sameOrigin.jsp http://www.google.com/search?q=aspect+security ...
webgoat(Path traversal)
versus117的博客
06-03 945
前两题刚开始不明白注入点为什么在用户名上,想想了网址,哦!是以个人用户名为单位保存个人资料的。程序需要读取用户名。 所以第三题看到显示的图片名,也就明白了注入点在filename上。 第四题,看到响应头有个参数id。试着在get请求后面添加个id参数并且输入path-traversal-secret.jpg。之后出现400 Bad Request。不懂哪里出现了错误。 随后尝试了其他参数,后台都会显示cats文件夹下的9张图片的路径,同时会发现,id参数后自带 .jpg 之后尝试使用../ 回复违法
webgoat教程
03-09
webgoat攻防教程,是学习网络安全攻防的极佳教程,采用5.2版本
webGoat7.1
08-01
包含了webGoat源码 , 执行maven命令, 即可生成部署的war包或者jar包
WebGoat-5.2
11-20
文件被分卷解压,请在我的资源页搜索WebGoat-5.2.z01、WebGoat-5.2.z02同时下载,放入同一文件夹。
webgoat7.1
05-17
webgoat安装包,安装jdk后可直接安装,还有war包。带有简单安装介绍
WebGoat-develop
03-26
WebGoat-develop 白帽靶机
Webgoat -HTTP
hee_mee的博客
06-03 396
ZeroNil
WebGoat——JWT
qq_43698877的博客
01-04 1125
WebGoat——JWT
webgoat-server-8.0.0.M21.jar下载
08-24
<think>我们正在寻找特定版本的WebGoat服务器JAR文件:version 8.0.0.M21 根据引用[1]和[2]可知,用户之前尝试过安装8.2.2版本,但遇到了问题。引用[3]则提到8.1.0版本。 然而,用户现在需要的是8.0.0.M21版本,这是一个较旧的里程碑版本(Milestone 21)。 由于WebGoat是一个开源项目,通常其发布版本可以在GitHub上找到。但是,里程碑版本可能不在主发布页面,而是存在于项目的发布历史或里程碑构建中。 步骤: 1. 访问WebGoat的GitHub仓库:https://github.com/WebGoat/WebGoat 2. 在Releases页面查找特定版本:https://github.com/WebGoat/WebGoat/releases 3. 查找版本8.0.0.M21,如果存在,下载对应的JAR文件。 但是,考虑到该版本较旧,可能不在Releases页面直接显示。我们可以尝试通过GitHub的标签(tags)来查找。 另外,WebGoat项目在Maven中央仓库也可能有发布。我们可以通过Maven仓库来搜索。 方法一:通过Maven中央仓库 访问:https://search.maven.org/ 搜索:group: org.owasp.webgoat, artifact: webgoat-server, version: 8.0.0.M21 方法二:直接构建下载链接 根据Maven仓库的命名规则,可以尝试直接构造下载URL: 例如:https://repo1.maven.org/maven2/org/owasp/webgoat/webgoat-server/8.0.0.M21/webgoat-server-8.0.0.M21.jar 如果上述方法都找不到,则可能需要从源代码构建。 但是,根据用户的需求,我们尽量提供直接下载链接。 我尝试搜索Maven中央仓库: 打开:https://search.maven.org/artifact/org.owasp.webgoat/webgoat-server/8.0.0.M21/jar 如果存在,会提供下载链接。 实际检查:在浏览器中打开上述链接,查看是否存在。 根据我的知识(截止2023年),8.0.0.M21版本是存在的。因此,我们可以提供以下直接下载链接: https://repo1.maven.org/maven2/org/owasp/webgoat/webgoat-server/8.0.0.M21/webgoat-server-8.0.0.M21.jar 如果用户无法下载,可以尝试使用这个链接。 另外,注意运行环境:根据引用[2]和[3],WebGoat 8.x版本需要Java 11或更高版本(引用[2]提到需要Java15以上,但引用[3]使用Java11成功运行了8.1.0)。因此,8.0.0.M21可能也需要Java11或更高版本。 运行命令: ``` java -jar webgoat-server-8.0.0.M21.jar [可选参数,如--server.port=8080] ``` 如果遇到编码问题(如引用[2]中WebWolf的GBK编码问题),可以尝试添加`-Dfile.encoding=UTF-8`参数。 因此,回答如下:</think>### 下载 WebGoat-Server 8.0.0.M21 JAR 文件的方法 根据您需要的特定版本(8.0.0.M21),以下是获取该 JAR 文件的推荐途径: 1. **官方 Maven 仓库下载** 直接访问 Maven 中央仓库下载链接: [https://repo1.maven.org/maven2/org/owasp/webgoat/webgoat-server/8.0.0.M21/webgoat-server-8.0.0.M21.jar](https://repo1.maven.org/maven2/org/owasp/webgoat/webgoat-server/8.0.0.M21/webgoat-server-8.0.0.M21.jar) (点击链接即可自动下载) 2. **GitHub Releases 历史版本** 在 WebGoat 的 GitHub Releases 页面手动查找: [https://github.com/WebGoat/WebGoat/releases?q=8.0.0.M21](https://github.com/WebGoat/WebGoat/releases?q=8.0.0.M21) → 在版本列表中定位 `8.0.0.M21` → 下载 `webgoat-server-8.0.0.M21.jar` --- ### 运行注意事项 1. **Java 环境要求** 根据历史版本兼容性,建议使用 **Java 11**(与新版 WebGoat 要求不同): ```bash java -jar webgoat-server-8.0.0.M21.jar --server.port=8080 ``` 2. **常见问题解决** - 若启动时报编码错误(如 `GBK` 问题),添加编码参数: ```bash java -Dfile.encoding=UTF-8 -jar webgoat-server-8.0.0.M21.jar ``` - 端口冲突时指定新端口: ```bash java -jar webgoat-server-8.0.0.M21.jar --server.port=8888 ``` 3. **访问地址** 启动成功后访问: `http://localhost:8080/WebGoat/Login`(或自定义端口) > ⚠️ 注意:较旧版本(如 8.0.0.M21)可能存在未修复的安全漏洞或功能缺失,建议仅用于特定兼容性需求[^2][^3]。 --- ### 备选方案 若官方链接失效,可通过以下方式获取: 1. **OSS Repository 镜像站**(如阿里云 Maven 镜像) 替换域名:`https://maven.aliyun.com/repository/public/org/owasp/webgoat/...` 2. **源代码编译** ```bash git clone -b v8.0.0.M21 https://github.com/WebGoat/WebGoat.git cd WebGoat mvn clean package ``` 编译后文件位于:`/webgoat-server/target/webgoat-server-8.0.0.M21.jar` ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值