WebGoat Client side -- Client side filtering

最新推荐文章于 2023-11-07 22:44:19 发布
最新推荐文章于 2023-11-07 22:44:19 发布
阅读量997 收藏 5
点赞数 3
CC 4.0 BY-SA版权
分类专栏: web安全 WebGoat 文章标签: 网络安全 html javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/elephantxiang/article/details/117627673
本文揭示了如何利用burpsuite抓包和开发者工具技巧,通过服务器端信息泄露漏洞发现CEO薪资及获取免费手机折扣的实例,强调了服务器安全的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、习题通关

第2页

背景:作为CSO,可以看到除CEO(Neville Bartholomew)之外的其他员工的工资,没有权限看CEO的工资

任务:找到CEO(Neville Bartholomew)的工资

解题步骤:

这题老简单了,2步过关

1、准备好burpsuite抓包,网页上select user选项框那里随便选一个人

2、如上图所示,网页上看确实只能看到一个员工的 ,但是burpsuite里面可就不是了,在proxy模块http history中找到下图这个url,看Response,数据部分以json格式返回了所有员工包括CEO的salary,拉到最下面找到Neville Bartholomew的salary,复制到网页上submit即可过关

另外其实如果懒懒地不想开burpsuite的话,这关也能过,在salary那个表上鼠标点右键,再点 检查(chrome浏览器),然后往前找一找,能找到下图这个隐藏的table,把最后一个tr(id=112)标签点开,就能看到Neville Bartholomew的salary

最低0.47元/天 解锁文章

200万优质内容无限畅学
WebGoat Client side -- HTML tampering
箭雨镜屋
06-04 611
目录 一、习题通关 第2页 方法一、常规:burpsuite改包 方法二、烦躁:用开发者工具找找找 二、总结思考 一、习题通关 第2页 这一课其实非常简单,有两种方法可以解 方法一、常规:burpsuite改包 准备好burpsuite,网页上啥也不用改,点checkout按钮 burpsuite抓到的包有两个参数,QTY和Total 根据这题的意思,要以低价买东西,所以QTY可以不动也可以增加,把Total改成低于正常总价的值,比如0,发送之后即可通关 方法二、烦躁:
webgoat-Ajax-客户端过滤
橡皮
01-11 336
Client Side Filtering 本实验分为两步: 1、通过页面查看隐藏数据,找到ceo的工资 You are logged in as Moe Stooge, CSO of Goat Hills Financial. You have access to everyone in the company's information, except the CEO, Neville Ba...
WebGoat Client side -- Bypass front-end restrictions
箭雨镜屋
06-05 931
目录 一、习题通关 第2页 第3页 二、课程内容 一、习题通关 简单到会用burpsuite改包就能过 第2页 要求:绕过4种输入类型的限制 4种限制分别是: (1)菜单(<select>标签) (2)单选(<input>标签,type="radio") (3)多选(<input>标签,type="checkbox") (4)有长度限制的输入(<input type="text" value="12345" name="shortInput
webgoat-client side 客户端问题
seanyang_的博客
11-07 531
用户对 Web 应用程序的前端有很大程度的控制权。它们可以更改 HTML 代码,有时也可以更改脚本。这就是为什么 需要特定输入格式的应用也应在服务器端进行验证,而不是只在前端做限制。
WebGoat -- AJAX Security
小英雄颂人头
03-11 732
0xx3 AJAX Security(Ajax安全性) Same Origin Policy Protection(同源政策保护) 依次向URL框框中输入以下网址(也可以直接点击下方链接),观察发现,只能访问同一数据资源,非同源访问失败 lessons/Ajax/sameOrigin.jsp http://www.google.com/search?q=aspect+security ...
webgoat-server-8.1.0.jar
04-04
webgoat-server-8.1.0
webgoat-container-7.1-exec.jar
08-30
WebGoat是OWASP(Open Web Application Security Project)开发的用于Web漏洞演示与验证的平台。该平台包含了访问控制、AJAX安全、认证失效、缓冲区溢出、代码质量、并行性、XSS、不正确的错误控制、注入缺陷、DoS、...
webgoat-server-8.2.1
09-02
webgoat-server-8.2.1
Web安全攻防靶场之WebGoat - 2
DarkN0te
02-24 1709
文章目录概述使用Cross-Site Scripting (XSS)Cross Site ScriptingStage 2Stage 7Stage 10Stage 11Stage 13Access Control FlawsInsecure Direct Object ReferencesStage 2Stage 3Stage 4Stage 5Missing Function Level Acce...
WebGoat攻略 for Mac(6)
qq_42955000的博客
04-20 750
WebGoat攻略 for Mac(6)一、题目攻略A9.Vulnerable Components(易损组件)1.Vulnerable Components(易损组件)A8:2013.Request Forgeries(请求伪造)1.Cross-Site Request Forgeries(CSRF)(跨站点请求伪造)2.Server-Side Request Forgery(服务器请求伪造)Client side(客户端)1.Bypass front-end restrictions(绕过前端限制)2.
Ajax Security之WebGoat实验 - 2016.01.07
baishileily的博客
01-07 810
Ajax是一种提供后台默默地与服务器进行交互的技术,它不需要每一次与服务器的访问都刷新页面,只是将数据提交给服务器然后获取服务器的响应,再根据要求进行动态的修改罢了。这就很好地避免了每一次都刷新页面带来的开销。但是有利必有弊。它的弊端同样就在于它的动态修改。由于html的js都是解释执行的,这就意味着对那些没有经过特殊处理的站点,我们可以通过注入我们的html和js代码执行我们想要的结果。这也就引
WebGoat学习笔记二---AJAX Security
real14
11-22 2076
l  LAB:DOM-Based cross-site scripting 题目叫我们用WebGoat/images/logos/owasp.jpg 图片来污染网页 可以看到当我们在文本框中出入字符后网页会立即显示输入的字符,所以我在文本框中输入如下的html代码,提交后STAGE1完成 Stage2: 文本框中输入 Stage3: 在文本框中输入 " Stage4:
WebGoat——Ajax安全(一)
lay_loge的博客
03-26 670
一、同源策略保护 Same Origin Policy Protection (1)题目:This exercise demonstrates the Same Origin Policy Protection. XHR requests can only be passed back to the originating server. Attempts to pass data to a no...
WebGoat通关系列导览(轮回式更新中。。。)
箭雨镜屋
05-29 3288
General WebGoat General HTTP Basics_箭雨镜屋-优快云博客 WebGoat General Crypto Basics_箭雨镜屋-优快云博客 (A1) Injection WebGoat (A1) SQL Injection (intro)_箭雨镜屋-优快云博客 WebGoat (A1) SQL Injection (advanced)_箭雨镜屋-优快云博客 WebGoat (A1) SQL Injection (mitigation)_箭雨镜屋-CSD
webgoat全关教程手册
热门推荐
黑白的博客
11-08 6万+
Webgoat&Webwolf owaspbwa里面的两个服务 搭建 先要安装jdk、Webgoat和Webwolf Webgoat和Webwolf jdk1.8不支持了,需要安装jdk11 去git上下载Webgoat和Webwolf https://github.com/WebGoat/WebGoat/releases/tag/v8.0.0.M26 去oracle官网下载JDK https://www.oracle.com/java/technologies/javase-jdk11-down
Webgoat 笔记总结-AJAX Security
weixin_34198583的博客
10-02 340
AJAX Security AJAX即“Asynchronous JavaScript and XML”(异步JavaScript和XML),AJAX并非缩写词,而是由Jesse James Gaiiett创造的名词,是指一种创建交互式网页应用的网页开发技术。 AJAX 指异步 JavaScript 及 XML(Asynchronous JavaScript And XM...
WebGoat题目解答(General~XSS)
weixin_33991727的博客
03-30 920
***General*************************************************************1、Http Spliting step1 cn%0aContent-length:%200%0a%0aHTTP/1.1%20200%20OK%0aContent-Type:%20text/html%0aConte...
http://blog.youkuaiyun.com/whuslei/article/details/6667471/
he_you_qing的博客
07-25 339
建立TCP需要三次握手才能建立,而断开连接则需要四次握手。整个过程如下图所示: 先来看看如何建立连接的。 首先Client端发送连接请求报文,Server段接受连接后回复ACK报文,并为这次连接分配资源。Client端接收到ACK报文后也向Server段发生ACK报文,并分配资源,这样TCP连接就建立了。 那如何断开连接呢?简单的过程如下:
Error: Unable to access jarfile webgoat-container-7.1-exec.jar]
最新发布
07-08
<think>我们正在处理用户的问题:“解决 Unable to access jarfile webgoat-container-7.1-exec.jar”。根据引用内容,用户可能是在尝试运行WebGoat时遇到了这个错误。这个错误通常意味着Java无法找到指定的JAR文件。我们将结合引用中的信息,逐步解决这个问题。 步骤1:确认JAR文件是否存在 首先,用户需要确认当前目录下是否存在名为`webgoat-container-7.1-exec.jar`的文件。用户可能下载了该文件,但放在了不同的目录,或者文件名有误。 步骤2:检查文件路径 如果文件存在,那么运行命令时,需要确保当前工作目录就是JAR文件所在的目录,或者在命令中指定完整的路径。 步骤3:检查文件权限 在Linux系统中,还需要检查该JAR文件是否具有可执行权限。如果没有,需要使用`chmod`命令赋予权限。 步骤4:检查Java版本 引用[1]中提到,WebGoat 7.1需要Java 8,并且不兼容Java 9。用户需要确保安装的是Java 8,并且设置为默认JDK。 步骤5:重新下载JAR文件(如果必要) 如果文件不存在,或者下载不完整,用户需要重新下载。引用[1]中提供了下载链接:`wget https://github.com/WebGoat/WebGoat/releases/download/7.1/webgoat-container-7.1-exec.jar` 步骤6:运行命令的正确性 确保运行命令的格式正确,如:`java -jar webgoat-container-7.1-exec.jar -httpPort=8081`。注意,如果文件名与下载的文件名不一致,需要修改命令中的文件名。 根据引用[2]和[3],用户可能在不同的环境中(如Ubuntu、Fedora、CentOS)操作,但解决思路相同。引用[4]提到WebGoat 8.1.0需要JDK11,但用户使用的是7.1版本,所以必须用Java 8。 综合以上步骤,我们给出详细解决方案: ### 解决“Unable to access jarfile webgoat-container-7.1-exec.jar”错误 1. **确认JAR文件存在** 使用`ls`命令(Linux/macOS)或`dir`命令(Windows)查看当前目录下是否有`webgoat-container-7.1-exec.jar`文件。 如果不存在,请从官方下载: ```bash wget https://github.com/WebGoat/WebGoat/releases/download/7.1/webgoat-container-7.1-exec.jar ``` 2. **检查当前工作目录** 确保你在JAR文件所在的目录运行命令。例如,如果文件在`~/Downloads`目录,则先进入该目录: ```bash cd ~/Downloads ``` 3. **检查文件权限** 在Linux系统中,赋予JAR文件可执行权限: ```bash chmod +x webgoat-container-7.1-exec.jar ``` 4. **验证Java版本** 运行以下命令检查Java版本: ```bash java -version ``` 确保输出为Java 8(如`1.8.0_151`)。 如果不是,请按照引用[1]中的方法安装Java 8并设置为默认: ```bash # 对于Ubuntu系统 sudo apt-get update sudo apt-get install oracle-java8-installer sudo update-java-alternatives -s java-8-oracle sudo apt install oracle-java8-set-default ``` 5. **运行WebGoat** 使用正确的命令运行: ```bash java -jar webgoat-container-7.1-exec.jar -httpPort=8081 ``` 如果仍然出现相同的错误,请尝试指定文件的绝对路径,例如: ```bash java -jar /path/to/webgoat-container-7.1-exec.jar -httpPort=8081 ``` 6. **重新下载(如果文件损坏)** 如果文件损坏,重新下载JAR文件。 通过以上步骤,应该能够解决“Unable to access jarfile”错误。 §§相关问题§§ 1. 如何在不同操作系统中安装Java 8? 2. 如何解决WebGoat运行时的端口冲突问题? 3. WebGoat启动后如何访问?</think>### 解决"Unable to access jarfile webgoat-container-7.1-exec.jar"错误 此错误通常表示Java无法找到或访问指定的JAR文件。以下是系统化的解决方案: #### 1. **验证文件存在性** ```bash ls -l webgoat-container-7.1-exec.jar ``` - 如果文件不存在: ```bash wget https://github.com/WebGoat/WebGoat/releases/download/7.1/webgoat-container-7.1-exec.jar ``` - 如果文件名不匹配(如大小写问题): ```bash mv WebGoat*.jar webgoat-container-7.1-exec.jar # 重命名匹配的文件 ``` #### 2. **检查文件权限** ```bash chmod +x webgoat-container-7.1-exec.jar # 添加可执行权限 ``` #### 3. **确认执行路径** - 使用绝对路径运行: ```bash java -jar /完整路径/webgoat-container-7.1-exec.jar ``` - 或进入文件目录: ```bash cd /下载目录/ java -jar webgoat-container-7.1-exec.jar ``` #### 4. **验证Java环境** ```bash java -version # 必须显示Java 8(1.8.x) ``` - 若非Java 8: ```bash sudo update-java-alternatives -s java-8-oracle # 切换版本[^1] ``` #### 5. **检查文件完整性** - 文件大小应为~70MB: ```bash du -h webgoat-container-7.1-exec.jar ``` - 若大小不符,重新下载: ```bash rm webgoat-container-7.1-exec.jar wget https://github.com/WebGoat/WebGoat/releases/download/7.1/webgoat-container-7.1-exec.jar ``` #### 6. **使用Docker运行(备选方案)** ```bash docker run -p 8080:8080 webgoat/webgoat-7.1 ``` 避免本地环境问题[^2] > **关键提示**:WebGoat 7.1 **必须使用Java 8**,Java 9+会导致兼容性问题[^1]。若通过源码安装需使用`mvn clean install -D maven.test.skip`编译[^1]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值