WebGoat是一个由OWASP开发的Java靶场,用于教授和演示各种Web应用安全漏洞。通过Docker安装部署,用户可以在本地运行并学习包括XSS、SQL注入等30多种安全课程。在JWT漏洞课程中,用户需解析JWT令牌找到用户名,了解身份验证漏洞。WebGoat提供了丰富的教程和视频,帮助提升Web安全技能。
简介
WebGoat是OWASP组织研制出的用于进行web漏洞实验的Java靶场程序,用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上,当前提供的训练课程有30多个,其中包括:跨站点脚本攻击(XSS)、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效、危险的HTML注释等等。WebGoat提供了一系列web安全学习的教程,某些课程也给出了视频演示,指导用户利用这些漏洞进行攻击。
GitHub地址为https://github.com/WebGoat/WebGoat
安装部署(Docker)
docker run -it -p 127.0.0.1:8080:8080 -p 127.0.0.1:9090:9090 -e TZ=Europe/Amsterdam webgoat/webgoat
启动后截图
使用
打开地址 http://127.0.0.1:8080/WebGoat
注册一个新用户
注册一个用户,注册完后返回登录,进入界面如上
Jwt Token 漏洞
打开地址 http://127.0.0.1:8080/WebGoat/start.mvc#lesson/JWT.lesson
这个题目的意思是根据以下令牌找出用户名
eyJhbGciOiJIUzI1NiJ9.ew0KICAiYXV0aG9yaXRpZXMiIDogWyAiUk9MRV9BRE1JTiIsICJST0xFX1VTRVIiIF0sDQogICJjbGllbnRfaWQiIDogIm15LWNsaWVudC13aXRoLXNlY3JldCIsDQogICJleHAiIDogMTYwNzA5OTYwOCwNCiAgImp0aSIgOiAiOWJjOTJhNDQtMGIxYS00YzVlLWJlNzAtZGE1MjA3NWI5YTg0IiwNCiAgInNjb3BlIiA6IFsgInJlYWQiLCAid3JpdGUiIF0sDQogICJ1c2VyX25hbWUiIDogInVzZXIiDQp9.9lYaULTuoIDJ86-zKDSntJQyHPpJ2mZAbnWRfel99iI
通过https://jwt.io/ 解析上面令牌
找出用户名 "user_name": "user"
可以看出验证通过
扫一扫
1216
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
