📅  最后修改于: 2020-12-04 05:18:46             🧑  作者: Mango
我们可以使用各种方法/方法作为进行攻击的参考。
在开发攻击模型时,可以考虑以下标准。
在以下列表中,OWASP是最活跃的,并且有很多参与者。我们将专注于OWASP技术,每个开发团队在设计Web应用程序之前都要考虑这些技术。
开放Web应用程序安全协议团队发布了近年来在Web中更为普遍的十大漏洞。以下是在基于Web的应用程序中更普遍的安全漏洞列表。
为了理解每种技术,让我们使用一个示例应用程序。我们将对’WebGoat’进行攻击,这是J2EE应用程序,该应用程序明确开发了安全性漏洞,仅供学习。
有关webgoat项目的完整详细信息,可以位于https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project 。要下载WebGoat应用程序,请导航至https://github.com/WebGoat/WebGoat/wiki/Installation-(WebGoat-6.0)并转到下载部分。
要安装下载的应用程序,首先请确保您没有在端口8080上运行任何应用程序。只需使用一个命令-java -jar WebGoat-6.0.1-war-exec.jar即可安装它。有关更多详细信息,请访问WebGoat安装
安装后,我们应该能够通过导航到http:// localhost:8080 / WebGoat / attack来访问该应用程序,然后将显示如下所示的页面。
我们可以使用登录页面中显示的guest或admin的凭据。
为了拦截客户端(浏览器)和服务器(本例中托管Webgoat应用程序的系统)之间的流量,我们需要使用Web代理。我们将使用Burp代理,可从https://portswigger.net/burp/download.html下载
如下所示下载burp套件的免费版本就足够了。
Burp Suite是一个Web代理,可以拦截浏览器和Web服务器发送和接收的每个信息包。这有助于我们在客户端将信息发送到Web服务器之前修改内容。
步骤1-应用程序安装在端口8080上,而Burp安装在端口8181上,如下所示。启动Burp套件并进行以下设置,以使其在端口8181中启动,如下所示。
步骤2-我们应该确保Burp正在侦听安装了应用程序的端口#8080,以便Burp套件可以拦截流量。如下所示,应在Burp Suite的“作用域”选项卡上完成此设置。
步骤3-然后进行浏览器代理设置以监听端口8181(Burp Suite端口)。因此,我们已将Web代理配置为拦截客户端(浏览器)和服务器(Webserver)之间的流量,如下所示-
步骤4-下面的简单工作流程图显示了配置的快照,如下所示