1013.Web安全攻防靶场之wavsep

概述

wavsep 是一款基于java的简单web攻防靶场,利用最简单的jsp技术进行实现。

GitHub地址为 https://github.com/sectooladdict/wavsep

部署后首页截图

部署

从git上下载包后,倒入eclipse中,修复jdk版本号即可。wavsep使用的默认为jre7tomcat6

具体怎么将已有eclipse项目导入并将web项目在tomcat中运行,请在搜索引擎中搜索。

项目启动成功后,访问连接 http://127.0.0.1:8080/wavsep/wavsep-install/install.jsp 输入root用户信息,程序会自动进行表的创建,因为该程序是使用derby保存数据库连接信息,所有没有其他的配置文件。表创建完成后需要将tomcat重启才能够正确的运行靶场。

使用

该平台中包含了很多的漏洞,具体如下:

SQL注入

待补全

DOM-XSS

待补全

反射型XSS

待补全

本地文件包含 LFI

待补全

远程文件包含 RFI

待补全

备份文件检查

待补全

信息泄露

待补全

SESSION认证

待补全

总结

该靶场由于完成比较早,所以近些年比较流行的一些漏洞没有纳入把场中,但是对于一些老的漏洞,对于初学者来说还是不错的。

原文地址:https://www.cnblogs.com/beijibing/p/10393332.html

时间: 2024-11-05 15:55:11

1013.Web安全攻防靶场之wavsep的相关文章

1006.Web安全攻防靶场之WebGoat – 2

概述 由于上一篇文章 Web安全攻防靶场之WebGoat - 1 过长,这里分开写后面内容 使用 Cross-Site Scripting (XSS) 跨站脚本攻击,跨站脚本分为三类 1. Reflected XSS Injection 反射型xss 通过一个链接产生的xss叫做反射型xss,所有恶意内容都在url中. 2. Stored XSS Injection 存储型xss 所有的恶意内容都在网页中,是攻击者通过漏洞将恶意内容写在数据库中,然后当其他用户访问含有这些恶意数据的网页时,就遭受

1012.Web安全攻防靶场之WebGoat – 3

概述 这是 WebGoat 的最后一部分,主要内容是 WebGoat中的Challenge,前面还有 1 和 2. Challenge Admin lost password 本题目的服务端源代码. @AssignmentPath("/challenge/1") public class Assignment1 extends AssignmentEndpoint { @RequestMapping(method = RequestMethod.POST) public @Respon

Web 前端攻防(2014版)-baidu ux前端研发部

http://fex.baidu.com/articles/page2/ Web 前端攻防(2014版) zjcqoo | 20 Jun 2014 禁止一切外链资源 外链会产生站外请求,因此可以被利用实施 CSRF 攻击. 目前国内有大量路由器存在 CSRF 漏洞,其中相当部分用户使用默认的管理账号.通过外链图片,即可发起对路由器 DNS 配置的修改,这将成为国内互联网最大的安全隐患. 案例演示 百度旅游在富文本过滤时,未考虑标签的 style 属性,导致允许用户自定义的 CSS.因此可以插入站

【转】常见六大Web 安全攻防解析

原文转自:https://segmentfault.com/a/1190000018073845 作者:浪里行舟 在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷.如何才能更好地保护我们的数据?本文主要侧重于分析几种常见的攻击的类型以及防御的方法. 一.XSS XSS (Cross-Site Scripting),跨站脚本攻击,因为缩写和 CSS重叠,所以只能叫 XSS.跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或Java

常见web安全攻防总结

Web 安全的对于 Web 从业人员来说是一个非常重要的课题 , 所以在这里总结一下 Web 相关的安全攻防知识,希望以后不要再踩雷,也希望对看到这篇文章的同学有所帮助.今天这边文章主要的内容就是分析几种常见的攻击的类型以及防御的方法. 也许你对所有的安全问题都有一定的认识,但最主要的还是在编码设计的过程中时刻绷紧安全那根弦,需要反复推敲每个实现细节,安全无小事. 本文代码 Demo 都是基于 Node.js 讲解,其他服务端语言同样可以参考. XSS 首先说下最常见的 XSS 漏洞,XSS (

常见 Web 安全攻防总结

Web 安全的对于 Web 从业人员来说是一个非常重要的课题,所以在这里总结一下 Web 相关的安全攻防知识,希望以后不要再踩雷,也希望对看到这篇文章的同学有所帮助.今天这边文章主要的内容就是分析几种常见的攻击的类型以及防御的方法. 也许你对所有的安全问题都有一定的认识,但最主要的还是在编码设计的过程中时刻绷紧安全那根弦,需要反复推敲每个实现细节,安全无小事.本文代码 Demo 都是基于 Node.js 讲解,其他服务端语言同样可以参考. 目录: 1.xss (1)非持久型 XSS (2)持久型

WEB前端攻防

1.禁止一切外链资源 外链会产生站外请求,因此可以被利用实施 CSRF 攻击. 目前国内有大量路由器存在 CSRF 漏洞,其中相当部分用户使用默认的管理账号.通过外链图片,即可发起对路由器 DNS 配置的修改,这将成为国内互联网最大的安全隐患. 案例演示 百度旅游在富文本过滤时,未考虑标签的 style 属性,导致允许用户自定义的 CSS.因此可以插入站外资源: 所有浏览该页面的用户,都能发起任意 URL 的请求: 由于站外服务器完全不受控制,攻击者可以控制返回内容: ●如果检测到是管理员,或者

常见六大Web安全攻防解析

一.XSSXSS (Cross-Site Scripting),跨站脚本攻击,因为缩写和 CSS重叠,所以只能叫 XSS.跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击. 跨站脚本攻击有可能造成以下影响: 利用虚假输入表单骗取用户个人信息.利用脚本窃取用户的Cookie值,被害者在不知情的情况下,帮助攻击者发送恶意请求.显示伪造的文章或图片.XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览

web安全攻防----环境搭建篇

1.安装虚拟机vMware. 2.在虚拟机上安装kali系统. *Kali为linux操作系统的一个发行版. 3.安装Xshell *Xshell是一个强大的安全终端模拟软件,它支持SSH1, SSH2, 以及Microsoft Windows 平台的TELNET 协议. 4.几种协议与端口 (1)RDP协议----远程桌面访问协议,端口号:3389. (2)ssh协议-----非对称的加密算法,抓包之后看不见里面的内容,需要解密.(没有验证的明文传输)ssh是个协议组.里面包含ftp和sftp