WebGoat系列实验Injection Flaws

WebGoat系列实验Injection Flaws

Numeric SQL Injection

1. 下列表单允许用户查看天气信息，尝试注入SQL语句显示所有天气信息。
2. 选择一个位置的天气，如Columbia，点击Go！按钮，使用Burp拦截GET请求，将参数station的值由原来的101改为101 or '1' = '1'，将报文发送，服务器返回了所有的天气信息。

Log Spoofing

1. 实验下方的灰色区域代表了web服务器的登录日志，目标是伪造admin用户登录的日志记录。
2. 尝试随意输入一个用户名yangmzh3，点击Login按钮，在日志中出现一行Login failed for username: yangmzh3。
3. 构造用户名为yangmzh3%0d%0aLogin succeed for username: admin，%0d字符表示回车CR，%0a字符表示换行LF，伪造了admin用户登录的日志。

XPATH Injection

1. 下列表单允许雇员查看个人数据依据薪水信息。已知账户Mike/test123，目标是查看其他雇员的数据信息。
2. 用户名与密码输入'or'1'='1，点击Submit按钮，服务器返回了所有雇员的数据信息。

String SQL Injection

LAB: SQL Injection

Stage 1:String SQL Injection

1. 尝试使用boss Neville的账户进行登录，验证Neville的个人简介可以查看，其他功能也可以使用。
2. 用户名选择Neville，密码输入'or'1'='1，点击Login按钮，发现登录失败。
3. 再次输入上述密码，使用Burp拦截GET请求报文，发现发往后台服务器的密码发生了改变，说明前端对不合法的字符进行了URL编码处理。
4. 在Burp中把密码修改为'or'1'='1，再次提交，成功使用Neville登录。

Stage 2:Parameterized Query #1

THIS LESSON ONLY WORKS WITH THE DEVELOPER VERSION OF WEBGOAT

++Stage 3:Numeric SQL Injection++

1. 作为雇员Larry，使用SQL注入参数来查看boss Neville的个人简介。
2. 使用Larry进行登录，选中Larry Stooge，点击ViewProfile按钮查看Larry个人简介。使用Burp拦截GET请求报文，尝试对参数employee_id进行修改。
3. 将id由101改为102，返回An error has occurred.。
4. 将id由101改为101' or '1' = '1，返回An error has occurred.。
5. 将id由101改为101 or 1 = 1，返回Larry的个人简介。
6. 将id由101改为101 or '1' = '1'，返回Larry的个人简介。
7. 将id由101改为101 or 1 = 1 order by phone desc,返回了Sean Livingston的个人信息。由此判断页面显示的是以用户id作为索引返回的数据表中的当前第一条记录。
8. 将id由101改为101 or 1 = 1 order by salary desc，返回了boss的个人信息。

Stage 4:Parameterized Query #2

THIS LESSON ONLY WORKS WITH THE DEVELOPER VERSION OF WEBGOAT

Database Backdoors

1. 尝试使用一条额外的SQL语句查询用户ID为101的薪水，并将薪水调高。
2.