WebGoat54课程.docVIP

密级 公开 WebGoat 5.4课程 北京知道创宇信息技术有限公司 2012-9 版本说明 修订人 修订内容 修订时间 版本号 审阅人 白河·愁 初稿 201111.8 0.1 文档信息 文档名称 文档编号 文档版本号 保密级别 扩散范围 扩散批准人 文档说明 WebGoat的课程指导，自己根据网上搜集的资料整理（主要是胡晓斌2011年7月的WebGoat5.2使用说明）和自己的理解完成和半完成。因能力有限，部分课程没有完成，希望有兴趣的人一起学习、补充。 可以随便修改 目录 1. WebGoat简介 1 1.1. WebGoat安装 1 1.2. WebGoat启动 1 2. WebGoat课程 3 2.1. Introduction（介绍） 3 2.1.1. HowtoworkwithWebGoat 3 2.1.2. HowToConfigureTomcat 4 2.1.3. UsefulTools（工具介绍） 6 2.1.4. CreateAWebGoatLesson 7 2.2. General（常规） 7 2.2.1. HTTPBasic 7 2.2.2. HTTPSplitting（HTTP拆分） 7 2.3. AccessControlFlaws（访问控制缺陷） 8 2.3.1. UsinganAccessControlMatrix 8 2.3.2. BypassaPathBasedAccessControlScheme 9 2.3.3. LAB:RoleBasedAccessControl（基于角色的访问控制测试） 11 2.4. AJAXSecurity 14 2.4.1. SameOriginPolicyProtection 14 2.4.2. LAB:DOM-Basedcross-sitescripting 15 2.4.3. LAB:ClientSideFiltering 18 2.4.4. DOMInjection 19 2.4.5. XMLInjection 20 2.4.6. JSONInjection 23 2.4.7. SilentTransactionsAttacks 25 2.4.8. DangerousUseofEval 26 2.4.9. InsecureClientStorage 26 2.5. AuthenticationFlaws（认证漏洞） 28 2.5.1. PasswordStrength 28 2.5.2. ForgotPassword 28 2.5.3. BasicAuthentication 29 2.5.4. MultiLevelLogin1 32 2.5.5. MultiLevelLogin2 34 2.6. BufferOverflows（缓冲区溢出） 35 2.6.1. Off-by-OneOverflows 35 2.7. CodeQuality（代码质量） 36 2.7.1. DiscoverCluesintheHTML 36 2.8. Concurrency（并发） 36 2.8.1. ThreadSafetyProblems 36 2.8.2. ShoppingCartConcurrencyFlaw 37 2.9. Cross-SiteScripting XSS，跨站脚本 39 2.9.1. PhishingwithXSS 39 2.9.2. LAB:CrossSiteScripting 40 2.9.3. StoredXSSAttacks 41 2.9.4. ReflectedXSSAttacks 42 2.9.5. CrossSiteRequestForgery CSRF 42 2.9.6. CSRFPromptBy-Pass 44 2.9.7. CSRFTokenBy-Pass 44 2.9.8. HTTPOnlyTest 44 2.9.9. CrossSiteTracing XST Attacks 45 2.10. ImproperErrorHandling（不正确的错误处理） 46 2.10.1. FailOpenAuthenticationScheme 46 2.11. InjectionFlaws（注入漏洞） 47 2.11.1. CommandInjection 47 2.11.2. NumericSQLInjection 48 2.11.3. LogSpoofing 49 2.11.4. XPATHInjection 50 2.11.5. StringSQLInjection 51 2.11.6. LAB:SQLInjection 52 2.11.7. ModifyDatawithSQLInject