密级公开WebGoat 5.4课程
北京知道创宇信息技术有限公司
2012-9
水上游乐版本说明
修订人修订内容修订时间版本号审阅人
时间管理四象限白河·愁初稿2011.11.8 0.1
文档信息
文档名称文档编号
文档版本号保密级别
扩散范围
干洗扩散批准人
文档说明
生蚝怎么吃图解WebGoat的课程指导,自己根据网上搜集的资料整理(主要是胡晓斌2011年7月的WebGoat5.2使用说明)和自己的理解完成和半完成。因能力有限,部分课程没有完成,希望有兴趣的人一起学习、补充。
版权声明
可以随便修改
目录
1.W ebGoat简介 (1)
1.1.WebGoat安装 (1)
1.2.WebGoat启动 (1)
2.W ebGoat课程 (3)
2.1.Introduction(介绍) (3)
2.1.1.HowtoworkwithWebGoat (3)
2.1.2.HowToConfigureTomcat (4)
2.1.3.UfulTools(工具介绍) (6)
2.1.4.CreateAWebGoatLesson (7)
2.2.General(常规) (7)
2.2.1.HTTPBasic (7)
2.2.2.HTTPSplitting(HTTP拆分) (7)
2.3.AccessControlFlaws(访问控制缺陷) (8)
2.3.1.UsinganAccessControlMatrix (8)
2.3.2.BypassaPathBadAccessControlScheme (9)
2.3.3.LAB:RoleBadAccessControl(基于角色的访问控制测试) (11)
2.4.AJAXSecurity (14)
2.4.1.SameOriginPolicyProtection (14)
2.4.2.LAB:DOM-Badcross-sitescripting (15)
2.4.3.LAB:ClientSideFiltering (18)
2.4.4.DOMInjection (19)
2.4.5.XMLInjection (20)
2.4.6.JSONInjection (23)
2.4.7.SilentTransactionsAttacks (25)
2.4.8.DangerousUofEval (26)
2.4.9.IncureClientStorage (26)
2.5.AuthenticationFlaws(认证漏洞) (28)
2.5.1.PasswordStrength (28)
2.5.2.ForgotPassword (29)
2.5.3.BasicAuthentication (29)
2.5.4.MultiLevelLogin1 (32)
2.5.5.MultiLevelLogin2 (34)
2.6.BufferOverflows(缓冲区溢出) (35)
2.6.1.Off-by-OneOverflows (35)
2.7.CodeQuality(代码质量) (36)
2.7.1.DiscoverCluesintheHTML (36)
2.8.Concurrency(并发) (36)
2.8.1.ThreadSafetyProblems (36)
2.8.2.ShoppingCartConcurrencyFlaw (37)
2.9.Cross-SiteScripting(XSS,跨站脚本) (39)
2.9.1.PhishingwithXSS (39)
2.9.2.LAB:CrossSiteScripting (40)
2.9.3.StoredXSSAttacks (41)
2.9.4.ReflectedXSSAttacks (42)
小米的乱情人生2.9.5.CrossSiteRequestForgery(CSRF) (42)
2.9.6.CSRFPromptBy-Pass (44)
2.9.7.CSRFTokenBy-Pass (44)
2.9.8.HTTPOnlyTest (44)
2.9.9.CrossSiteTracing(XST)Attacks (45)
2.10.ImproperErrorHandling(不正确的错误处理) (46)
2.10.1.FailOpenAuthenticationScheme (46)
2.11.InjectionFlaws(注入漏洞) (47)
2.11.1.CommandInjection (47)
2.11.2.NumericSQLInjection (48)
2.11.3.LogSpoofing (49)
2.11.4.XPATHInjection (50)
2.11.5.StringSQLInjection (51)
2.11.6.LAB:SQLInjection (52)
2.11.7.ModifyDatawithSQLInjection (54)
2.11.8.AddDatawithSQLInjection (54)
2.11.9.DatabaBackdoors (55)
2.11.10.Blind Numeric SQL Injection (74)
2.12.Denial of Service(拒绝服务) (74)
2.12.1.Denial of Service from Multiple Logins (74)
2.13.Incure Communication(不安全的通讯) (75)
安全施工管理制度2.13.1.Incure Login (75)延伸英语
2.14.Incure Configuration(不安全配置) (76)
2.14.1.Forced Browsing (76)
2.15.Incure Storage(不安全的存储) (77)
介子推的故事2.15.1.Encoding Basics (77)
2.16.Malicious Execution(恶意执行) (78)
2.16.1.Malicious File Execution (78)
2.17.Parameter Tampering(参数篡改) (79)
2.17.1.Bypass HTML Field Restrictions (79)
2.17.2.Exploit Hidden Fields (79)
2.17.3.Exploit Unchecked Email (79)
2.17.4.Bypass Client Side JavaScript V alidation (81)
2.18.Session Management Flaws(会话管理漏洞) (82)
2.18.1.Hijack a Session (82)
2.18.2.Spoof an Authentication Cookie (82)
2.18.3.Session Fixation (84)
2.19.Web Services (85)
