zoukankan      html  css  js  c++  java
  • WebGoat系列实验Denial of Service & Insecure Communication

    WebGoat系列实验Denial of Service & Insecure Communication

    ZipBomb

    1. 服务器仅接收ZIP文件,将上传的文件解压,进行操作之后删除。已知服务器提供了20MB的临时存储空间用于处理所有请求,实验需要上传一个文件来执行DOS攻击,消耗掉所有临时存储空间。
    2. 需要制作一个Zip炸弹,首先生成一张图片,并制作这一张图片的多个备份,之后将多个图片压缩,注意保持Zip文件不超过2MB,压缩前总文件大小超过20MB即可。

    Denial of Service from Multiple Logins

    1. 实验网站允许用户多次登录,数据库连接池允许2个连接。需要获取账户列表并创建3个连接。
    2. 猜测网站用户使用了弱口令,在用户名与密码的位置填写admin,点击Login按钮,提示登录失败,但是却显示了sql查询语句。image
    3. 尝试使用sql注入获取账户列表,用户名与密码填写'or'1'='1,点击Login,果然服务器返回账户列表。image
    4. 使用用户jsnow进行登录,另外打开两个标签页,也使用用户jsnow登录,over。

    Insecure Login

    STAGE1

    1. 点击Submit按钮,使用Burp拦截GET请求报文,发现密码的明文是sniffy。image

    STAGE2

    1. 使用HTTPS协议,再次嗅探密码的明文。
    2. 无法嗅探到密码的明文。
  • 相关阅读:
    openldap---ldapsearch使用
    自旋锁与相互排斥锁之抉择
    探索Android中的Parcel机制(上)
    我的Android开发相关文章
    SoftReference
    Windows7WithSP1/TeamFoundationServer2012update4/SQLServer2012
    机器学习中规则化和模型选择知识
    Java中System的详细用法
    Java中System的详细用法
    Java中System的详细用法
  • 原文地址:https://www.cnblogs.com/yangmzh3/p/7519301.html
Copyright © 2011-2022 走看看