WebGoat系列实验Injection Flaws Numeric SQL Injection 下列表单允许用户查看天气信息,尝试注入SQL语句显示所有天气信息. 选择一个位置的天气,如Columbia,点击Go!按钮,使用Burp拦截GET请求,将参数station的值由原来的101改为101 or '1' = '1',将报文发送,服务器返回了所有的天气信息. Log Spoofing 实验下方的灰色区域代表了web服务器的登录日志,目标是伪造admin用户登录的日志记录. 尝试随意输入一个…

WebGoat系列实验Authentication Flaws Forgot Password Web应用经常给用户提供取回密码的功能,但是许多应用的实现策略实现的很差,用于验证用户的信息非常简单. 本次实验已知自己的账户名是webgoat,最喜欢的颜色是红色,尝试取回admin用户的密码. 在取回密码界面的输入框中输入admin,进入验证界面,验证问题同样是询问最喜欢的颜色,经过多次尝试,发现用户admin最喜欢的颜色是绿色(green),最终"取回"密码. Multi Level…

WebGoat系列实验Access Control Flaws Using an Access Control Matrix 在基于角色的访问控制策略中,每个角色都代表了一个访问权限的集合.一个用户可以分配一到多个角色.基于角色的访问控制策略通常由两部分组成:角色许可管理与角色分配.基于角色的访问控制策略受到破坏就可能允许用户进行访问本不属于他的角色,或者以某种方式提升未经授权角色的特权. 依次选择Moe.Larry.Curly.Shemp尝试访问Account Manager资源,发现Larr…

WebGoat系列实验AJAX Security DOM Injiction 实验对象是一个接受激活密钥后允许你访问的系统,实验目标是尝试将激活按钮变得可以点击. 直接修改页面代码激活按钮,Chrome浏览器下F12查看网页源代码,找到按钮对应的代码 <input disabled="" id="SUBMIT" value="Activate!" name="SUBMIT" type="SUBMIT"…

WebGoat系列实验Cross-Site Scripting (XSS) PhishingTitle 本次实验是在一个已知存在XSS漏洞的页面进行钓鱼攻击.通过使用XSS与HTML注入,在页面中注入身份认证html代码,添加javascript脚本收集身份认证信息,并发送到http://localhost:8080/WebGoat/catcher?PROPERTY=yes... 输入以下javascript代码.(之前这个位置提交的javascript代码没有显示出来,原来是因为源代码被过滤掉…

WebGoat系列实验Denial of Service & Insecure Communication ZipBomb 服务器仅接收ZIP文件,将上传的文件解压,进行操作之后删除.已知服务器提供了20MB的临时存储空间用于处理所有请求,实验需要上传一个文件来执行DOS攻击,消耗掉所有临时存储空间. 需要制作一个Zip炸弹,首先生成一张图片,并制作这一张图片的多个备份,之后将多个图片压缩,注意保持Zip文件不超过2MB,压缩前总文件大小超过20MB即可. Denial of Service f…

WebGoat系列实验Buffer Overflows & Code Quality & Concurrency Off-by-One Overflows 实验需要访问OWASP Hotel页面,找出VIP客户的房间号. Step 1中需要登记用户的First Name,Last Name以及Room Number,随意填入数据,点击Submit提交即可. Step 2中需要确认住宿的时间.查看网页源代码,发现在Step 1中输入的3个参数是hidden input方式. 选择$9.99…

写在前面 这次实验遇到了非常多问题,非常非常多,花了很多时间去解决,还是有一些小问题没有解决,但是基本上能完成实验.建议先看完全文再开始做实验. 实验内容 先看一下本次实验的拓扑图: 在该环境下,假设H1 ping H4,初始的路由规则是S1-S2-S5,一秒后,路由转发规则变为S1-S3-S5,再过一秒,规则变为S1-S4-S5,然后再回到最初的转发规则S1-S2-S5.通过这个循环调度的例子动态地改变交换机的转发规则. 参考 Mininet动态改变转发规则实验 实验环境 虚拟机: Oracl…

实验内容 本次实验拓扑图: 在该环境下,h0 向 h1 发送数据包,由于在 mininet 脚本中设置了连接损耗率,在传输过程中会丢失一些包,本次实验的目的是展示如何通过控制器计算路径损耗速率(h0-s0-s1-h1).这里假设控制器预先知道网络拓扑,所以没有显示发现网络的代码以及其他相关代码.控制器将向 s0 和 s1 发送 flow_stats_request,当控制器接收到来自 s0 的 response 时,将特定流的数据包数保存在 input_pkts 中,当控制器接收到来自 s1 的…

实验内容 基础 Mininet 可视化界面进行自定义拓扑及拓扑设备自定义设置,实现自定义脚本应用. 参考 Mininet可视化应用 实验环境 虚拟机: Oracle VM VirtualBox Ubuntu16 实验步骤 1. 检查 Mininet 版本 # mn --version Mininet 2.2.0内置了一个mininet可视化工具miniedit.miniedit在~/mininet/mininet/examples目录下提供miniedit.py脚本,执行脚本后将显示Minine…