webgoat安装体验实验技巧.doc

信息安全实验报告 实验名称： WebGoat的安装、使用、演示 学 号： 2012221104210104 姓 名： 邓申仁 专业年级： 2012级计算机科学与技术 教师姓名： 宋建华 2015年 6 月 15日 1、实验目的 通过对用于web漏洞实验的应用平台WebGoat和代理软件WebScarab的使用，可以完成前面五关的通关即Introduction、General、Access Control Flaws、AJAX Security、Aauthentication Flaws等关。 2、实验原理 用一个web浏览器去访问一个web站点，并对其进行攻击，为了方便实验，这个站点实际就是建立在我们所在机器上的Apache Tomcat，我们可以将其看成一个远程的站点，在实验过程中使用Firefox浏览器。 3、实验环境 在虚拟机下安装Windows Server 2008的操作系统，在系统中配置jdk，安装Webgoat和WebScarab 4、实验内容和步骤 WebGoat的前期准备 1.1WebGoat的的介绍和部署 WebGoat是用于进行web漏洞实验的应用平台，用来说明web应用中存在的安全问题，本次试验是将WebGoat运行在虚拟机上。 1.2WebScarab的介绍 WebScarab是一种用来分析由浏览器提交到服务器的请求，以及服务器对浏览器做出的响应的程序框架，也可以当做一个代理，我们可以通过它来查看、分析、修改、创建所截取的浏览器与服务器之间的请求与响应，也可以用来分析HTTP与HTTPS协议 1.3安装与配置 1.3.1安装和运行WebGoat的前提是JRE环境的支撑，首先安装jdk。安装完后在java安装路径下C:\Program Files\Java\jdk1.7.0_67\bin可以看到如下图： 1.3.2安装WebScarab.jar双击文件按照向导进行安装，安装完成后打开图如下： 1.3.3可以在网上下载Webgoat，并将其解压到相应目录在解压文件夹中找到“WebGoat-6.0.1-war-execbat”,并运行，如下图： 1.3.4在浏览器中输入http://localhost:8080/WebGoat/ 现如下图所示的，输入用户名和密码guest登录 1.3.5使用WebScarab之前在浏览器的设置里将代理设置为localhost，端口号是8008 Introduction（介绍） 登录进去Webgaot页面出现出下图界面： 点击introduction列表可以看到里面有对交我们如何使用webgoat，Tomcat的认证，有用的通关工具，怎样进行通关，点击查看后每个会出现绿色”√”，解决方法看Solution如下图所示： General（综合） 3.1Http Basics（HTTP基本常识） 操作方法： 在浏览器中设置一个localhost的代理，然后启动WebScarab 我们需要在拦截“Intercept”选项选择拦截请求“Intercept request” 在页面输入框中填写你的名字后单击【go】按钮提交数据，在WebScrab的新窗口中，可以找到参数“person”，完成本次通关。 该操作完成系统提示该操作完成： Access Control Flaws（访问控制缺陷） 4.1使用访问控制模型（Using an Access Control Matrix） 在一个基于角色的访问控件方案中，角色代表一组访问权限，一个用户可以被分配一个或多个角色，每个用户都是角色成员，只允许访问一些特定的资源，我们可以选择不同的用户和角色，查看用户是否有该权限，当出现如图所示时，完成本关通过。 4.2绕过基于路径访问控制方案（Bypass a Path Based Access Control Scheme） 用户“user”能够访问lesson_planes/English目录下的所有文件，我们需要尝试突破访问控制策略，访问不在该清单下的文件，按照下述方式完成本关通关。 AJAX Security(Ajax安全) 5.1基于DOM的跨站点访问(LAB:DOM-Based cross-site scription) 文档对象模型它允许动态的修改网页内容，因此可以被攻击者用来进行恶意代码注入，这一关，我们利用漏洞将恶意代码注入到DOM，在最后阶段通过修改代码，来解决漏洞。 5.2小实验客户端过滤（LAB:Cli