WebGoat系列实验Denial of Service & Insecure Communication

ZipBomb

  1. 服务器仅接收ZIP文件,将上传的文件解压,进行操作之后删除。已知服务器提供了20MB的临时存储空间用于处理所有请求,实验需要上传一个文件来执行DOS攻击,消耗掉所有临时存储空间。
  2. 需要制作一个Zip炸弹,首先生成一张图片,并制作这一张图片的多个备份,之后将多个图片压缩,注意保持Zip文件不超过2MB,压缩前总文件大小超过20MB即可。

Denial of Service from Multiple Logins

  1. 实验网站允许用户多次登录,数据库连接池允许2个连接。需要获取账户列表并创建3个连接。
  2. 猜测网站用户使用了弱口令,在用户名与密码的位置填写admin,点击Login按钮,提示登录失败,但是却显示了sql查询语句。
  3. 尝试使用sql注入获取账户列表,用户名与密码填写'or'1'='1,点击Login,果然服务器返回账户列表。
  4. 使用用户jsnow进行登录,另外打开两个标签页,也使用用户jsnow登录,over。

Insecure Login

STAGE1

  1. 点击Submit按钮,使用Burp拦截GET请求报文,发现密码的明文是sniffy。

STAGE2

  1. 使用HTTPS协议,再次嗅探密码的明文。
  2. 无法嗅探到密码的明文。

转载于:https://www.cnblogs.com/yangmzh3/p/7519301.html

WebGoat系列实验Denial of Service Insecure Communication相关推荐

  1. WebGoat系列实验Cross-Site Scripting (XSS)

    WebGoat系列实验Cross-Site Scripting (XSS) PhishingTitle 本次实验是在一个已知存在XSS漏洞的页面进行钓鱼攻击.通过使用XSS与HTML注入,在页面中注入 ...

  2. lighttpd防御 Slow HTTP Denial of Service Attack 解决办法

    2019独角兽企业重金招聘Python工程师标准>>> 首先我们先了解一下配置文件中 关于 attack 的配置 Lighttpd配置中,关于超时的参数有如下几个 : server. ...

  3. DDoS(Distributed Denial of Service,分布式拒绝服务)

    DDoS:Distributed Denial of Service,即分布式拒绝服务攻击. 借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高 ...

  4. Mininet 系列实验(一)

    关于SDN的第一个实验,似乎实验室里的前辈们也都是从这里开始的. 实验内容 使用源码安装Mininet 参考 Mininet使用源码安装 实验环境 虚拟机:Oracle VM VirtualBox U ...

  5. RCNN系列实验的PASCAL VOC数据集格式设置

    我们在做RCNN系列的实验时,往往需要把数据集的格式设置为和PASCAL VOC数据集一样的格式,其实当然也可以修改读取数据的代码,只是这样更为麻烦,自己的数据格式变了又得修改.  首先以VOC200 ...

  6. java安全编码指南之:拒绝Denial of Service

    文章目录 简介 为什么会有DOS 不合理的资源使用 请求用于矢量图的SVG文件和字体文件 字符串或二进制表示的图片转换 zip炸弹 billion laughs attack hashMap中插入太多 ...

  7. 这是小小本周的第六篇,本篇小小将会介绍一个很古老很古老很古老的为什么系列之不能重写service方法。...

    这是小小本周的第六篇,本篇小小将会介绍一个很古老很古老很古老的为什么系列之不能重写service方法. 小小最近看到一年一度的考研,心生感慨,不过,作为一个专科,没法参与今年的考研,但是没关系,小小明 ...

  8. Kubernetes系列之理解K8s Service的几种模式

    原文地址:Kubernetes系列之理解K8s Service的几种模式 今天给大家介绍下k8s的service的几种访问模式. 概述 我们知道pod的ip不是固定的,是根据所在宿主机的docker0 ...

  9. Mininet系列实验(七):Mininet脚本实现控制交换机行为

    Mininet系列实验(七):Mininet脚本实现控制交换机行为 1 实验目的 熟悉Mininet自定义拓扑脚本的编写: 掌握使用"ovs-vsctl"命令直接控制Open vS ...

最新文章

  1. 你社交网站上的照片,也许已经被用来训练人工智能了
  2. linux kernel的spinlock代码导读和分析
  3. CoreOS安装到硬盘
  4. Cloudera Manager和CDH5.8离线安装
  5. 一个filter引起的404错误
  6. findbugs教程
  7. 12v小型电机型号大全_电机型号参数大全
  8. Eclipse的PHP插件PHPEclipse安装和使用
  9. matlab转置与共轭转置
  10. 手机群控还有这种事半功倍的操作?快来看强大的Rest API脚本功能
  11. jsp中的https强转访问
  12. mac 安装typescript
  13. Beyond Compare实现Class文件对比
  14. 商用密码产品认证-智能IC卡
  15. 财务管理----记账凭证的输入格式设计与数据库设计
  16. 数据分析师岗位热招!你也有希望进大厂~
  17. linux修改英文设置密码,linux 如何修改passwd的密码 设置密码
  18. 微信小程序使用云开发实现微信支付功能 报错Error: 签名错误,史上最全解决办法,不服留言骂我
  19. 软件使用代码签名证书的好处和必要性
  20. java相对路径上上级_关于上级目录与上上级目录的表示相对路径

热门文章

  1. mysql 命令行 换行_在MySQL命令行中使用SQL语句的规则
  2. 骁龙865和麒麟990的区别
  3. Xp和Win7下启动进入安全模式命令
  4. 文档服务器minio 可通过文件路径进行访问
  5. 通过swig将C/C++代码暴露给python
  6. 定位导致Windows蓝屏的代码的方法
  7. 7.1.1-7.5 学习笔记
  8. python列表格式化输出_python中请问怎么格式化输出列表
  9. 企业微信机器人发送文件 php demo
  10. 10 MySQL聚合函数数据分组