【QQ机器人】

山木智能_智赢天下,能聚烧友

 找回密码
 立即注册

快捷登录

查看: 29|回复: 0

通过黑客游戏学习web安全测试

[复制链接]

622

主题

622

帖子

32

积分

新手上路

Rank: 1

积分
32
发表于 2020-2-4 18:34:10 | 显示全部楼层 |阅读模式
通过黑客游戏学习web安全测试

一、媒介
黑客游戏owasp juice shop是一个很棒的毛病靶场,以是就把该情况先容给各人,该毛病靶场是由owasp开辟的,包罗了owasp的十大毛病,共计47关,难度各有差别。
以下我将从情况搭建开始先容整个毛病靶场,并先容前4关怎样去通关。
二、搭建
Juice shop是个开源项目,源码可在github上获取
(http://github.com/bkimminich/juice-shop),最为方便的照旧利用docker来安装。我所利用的情况为Ubuntu+docker。
1.1 假造机中安装一个ubuntu(我是利用Ubuntu 18.10 64位)安装方法自行百度
1.2 Ubuntu安装docker
$sudo apt-get update
$sudo apt-get install docker
安装完后实行 docker –version,若能看到docker版本,则安装乐成。
1.3 安装owasp juice shop
$docker pull bkimminich/juice-shop
注:下载速率跟网络有关,若失败,则多试频频;斗哥试了5-6次才下载乐成。
1.4 运行 juice shop
$docker run -d -p 3000:3000 bkimminich/juice-shop
1.5 欣赏器访问假造机IP+3000,如下图则情况已启动好。
通过黑客游戏学习web安全测试

三、闯关
第一关:
不得不说juice shop对初学者是不友爱的,页面上没有提示,不相识的还真不知道怎样动手。
第一关,检察首页源码发现Score Board,存在页面#/score-board,访问可看到全部关卡的要求。
通过黑客游戏学习web安全测试

已办理的关卡status列会酿成绿色的solved,并在该页面出现绿色的提示框告知你已办理了哪个关卡。
找到score-board就完成了第一关(页面中关卡的次序是按难易度分列的,并非特定解题次序)
通过黑客游戏学习web安全测试

第二关:Error Handling
要求引发一个错误,第一个想法是在登入处去测试。
登入处,实验特别字符是否能报sql的错误,效果如下,报错信息可看到登入验证的sql语句,此处是利用单引号举行闭合的,以是此处报错是由单引号引起的。记着这里的sql语句后续构造全能暗码有效。
(能产生报错的地方共有到处,有爱好的童鞋可以好好找找那里另有报错。)
通过黑客游戏学习web安全测试

通过黑客游戏学习web安全测试

第三关:XSS Tier 1
要求 构造一个反射性的xss。
是跨站阿,第一个想法便是搜刮框,直接贴入发现之间弹框了,连语句都不消改。
通过黑客游戏学习web安全测试

完成第三关。
通过黑客游戏学习web安全测试

第四关:Five-Star Feedback
要求删掉一个5星好评。
刚看到这题的时间照旧一股蒙圈样,不知道要在那里删?实在做题必须要先完成第六关和第八关后才气完成这题。以是做这题前先完成第六关和第八关吧。
利用全能暗码登入后在访问管理页面,即可看到评价,而且可删除评价。删除5星的评价哈后,完成该题。
通过黑客游戏学习web安全测试

通过黑客游戏学习web安全测试
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|山木智能_智赢天下,能聚烧友 ( 浙ICP备19019948号 )|网站地图

GMT+8, 2020-2-18 10:03 , Processed in 1.801431 second(s), 53 queries .

快速回复 返回顶部 返回列表