Webgoat -HTTP

最新推荐文章于 2025-09-27 10:43:13 发布
原创 最新推荐文章于 2025-09-27 10:43:13 发布 · 404 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍如何使用Docker安装并运行WebGoat和WebWolf,这两个工具用于网络安全培训,通过实例演示了HTTP请求的构造与拦截,以及如何通过修改请求参数进行渗透测试。

安装

docker pull webgoat/goatandwolf
docker run -itd -p 8080:8080 -p 9090:9090 -e TZ=Europe/Amsterdam webgoat/goatandwolf

#访问网页
127.0.0.1:8080/WebGoat
127.0.0.1:9090/WebWolf

HTTP基础

在这里插入图片描述
抓包得到magic number
在这里插入图片描述
修改提交的number为10,发送包
在这里插入图片描述

HTTP代理

按要求构造数据包
在这里插入图片描述

GET /WebGoat/HttpProxies/intercept-request?changeMe=Requests+are+tampered+easily HTTP/1.1

Host: 192.168.80.2:8080

User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0

Accept: */*

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Referer: http://192.168.80.2:8080/WebGoat/start.mvc

X-Requested-With: XMLHttpRequest

x-request-intercepted:true

Connection: close

Cookie: JSESSIONID=FED417914EB38075FF3C78F335500CA2

在这里插入图片描述

WebGoat——JWT
qq_43698877的博客
01-04 1134
WebGoat——JWT
Webgoat-CSRF/SSRF
hee_mee的博客
07-21 1366
zeroNil
webgoat
03-16
WebGoat:故意不安全的Web应用程序 重要信息 WebGoat课程服务器当前处于主要开发阶段。 从2016年2月1日起,版本“ 7.0.1”被视为主要体系结构和UI更改的第一个STABLE版本。 WebGoat的旧版/旧版可以在以下找到: WebGoat是由维护的故意不安全的Web应用程序,旨在教授Web应用程序安全性课程。 该程序演示了常见的服务器端应用程序缺陷。 这些练习旨在供人们用来学习应用程序安全性和渗透测试技术。 警告1:在运行该程序时,您的计算机极易受到攻击。 使用此程序时,应断开与Internet的连接。 WebGoat的默认配置绑定到本地主机,以最大程度地减少暴露。 警告2:此程序仅用于教育目的。 如果未经授权尝试使用这些技术,很可能会被抓住。 如果您被发现从事未经授权的黑客攻击,大多数公司都会开除您。 声称您正在进行安全性研究不会奏效,因为这是所有黑客都宣称
webgoat教程
03-09
webgoat攻防教程,是学习网络安全攻防的极佳教程,采用5.2版本
webgoat(Path traversal)
versus117的博客
06-03 948
前两题刚开始不明白注入点为什么在用户名上,想想了网址,哦!是以个人用户名为单位保存个人资料的。程序需要读取用户名。 所以第三题看到显示的图片名,也就明白了注入点在filename上。 第四题,看到响应头有个参数id。试着在get请求后面添加个id参数并且输入path-traversal-secret.jpg。之后出现400 Bad Request。不懂哪里出现了错误。 随后尝试了其他参数,后台都会显示cats文件夹下的9张图片的路径,同时会发现,id参数后自带 .jpg 之后尝试使用../ 回复违法
webgoat-server-8.0.0.M21.jar下载
08-24
`http://localhost:8080/WebGoat/Login`(或自定义端口) > ⚠️ 注意:较旧版本(如 8.0.0.M21)可能存在未修复的安全漏洞或功能缺失,建议仅用于特定兼容性需求[^2][^3]。 --- ### 备选方案 若官方链接失效,...
Error: Unable to access jarfile webgoat-container-7.1-exec.jar]
07-08
确保运行命令的格式正确,如:`java -jar webgoat-container-7.1-exec.jar -httpPort=8081`。注意,如果文件名与下载的文件名不一致,需要修改命令中的文件名。 根据引用[2]和[3],用户可能在不同的环境中(如...
webgoat安装包和学习资料.zip
05-26
非常实用的网络安全学习课程,有...下载完成后在cmd中运行java -jar webgoat-container-7.1-exec.jar,默认为8080端口,若被占用可运行java -jar webgoat-container-7.1-exec.jar -httpPort 8990(随便一个空闲端口号)
精选资源
webgoat靶场需要自行搭建
01-19
6. **访问WebGoat**:在浏览器中输入`http://localhost:8080/webgoat/`(假设Tomcat默认端口未改变),如果一切顺利,你应该能看到WebGoat的登录页面。初始用户名和密码通常为"guest"。 7. **安全漏洞实践**:...
webGoat7.1
08-01
包含了webGoat源码 , 执行maven命令, 即可生成部署的war包或者jar包
WebGoat-5.2
11-20
文件被分卷解压,请在我的资源页搜索WebGoat-5.2.z01、WebGoat-5.2.z02同时下载,放入同一文件夹。
webgoat7.1
05-17
webgoat安装包,安装jdk后可直接安装,还有war包。带有简单安装介绍
WebGoat-develop
03-26
WebGoat-develop 白帽靶机
WebGoat-5.2.z02
11-20
文件被分卷解压,请在我的资源页搜索WebGoat-5.2.z01、WebGoat-5.2同时下载,放入同一文件夹。
WebGoat和WebGolf
科华在线
06-11 659
2019/6/11 清华大学出版社出版的新书《软件测试实战教程》中有提到两个国际组织WASC和OWASP,在Web应用性能测试方面有很大的影响。性能测试工具OWASP ZAP可以扫描应用的安全漏洞,如何深入理解这些安全漏洞呢?今天找到了OWASP的另一个项目-WebGoatWebGoat项目的网址是https://github.com/WebGoat/WebGoat。 最新版的WebGoat...
WebGoat - 刻意设计的不安全Web应用程序
最新发布
AI工程化、开源分享、文档翻译、代码笔记
09-27 469
一、关于 WebGoat 1、项目概览 2、相关链接资源 3、功能特性 二、安装配置 1、Docker运行方式 2、带桌面环境的Docker运行 3、独立运行 4、源码编译运行 三、高级配置 1、自定义菜单
WebGoat介绍
tony的专栏
04-17 2774
WebGoat 项目简介: WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台,用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上,当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、O
WebGoat安装
小英雄颂人头
03-25 4419
WebGoat是运行在Java虚拟机的WEB漏洞实验靶场,可以提供包括跨站点脚本攻击(XSS),访问控制,线程安全,操作隐藏字段,操纵参数,弱会话cookie,SQL盲注,数字型SQL注入,字符串型SQL注入,web服务、Open Authentication失效,危险的HTML注释等多个漏洞练习. 使用WebGoat的方式有很多,我们以常用的两种方式进行安装: OWASP Broken We...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值