Password Strength
这一节主要是讲密码强度的,一个好的密码应该由大写字母,小写字母,数字组成。需要我们把密码都拿到这个网站去测试,然后给出测试结果即可。
由于这个网站关闭了,找到了这个网站用于测试密码强度。
Forget Password
这一节是关于找回密码功能的。密码找回功能设置过于简单时,别人可以猜对答案。本节课程要求找回用户名为admin的密码,需要回答正确最喜欢的颜色是什么,猜测green是对的,通过。
Basic Authentication
关于HTTP的基本认证,这篇文章讲的比较详细了。这一节讲基本的身份验证,基本的身份验证是用来保护服务器端资源的,当客户端向服务器请求一个URL,如果服务器这个资源需要身份认证的话,服务器将发送401认证请求与所请求的资源响应。例如,以我们登陆WebGoat的过程为例。
Multi Level Login 1
总结
用户提交的参数可能是不可信的。
实验流程
这是一个多级登陆,对于多级登陆的系统,往往会要求首先输入用户名和密码,进入之后,会要求再输入一个什么密码,而这个密码有点像密保卡一样,密保卡只有用户本人拥有,系统随机要求输入第几行第几列的数字组合,用户照着密保卡上面的数字按照系统提示的规则输入进去就行了。这个多级登陆的方式在原来的《大话西游》网游中曾经用过。
现在一名黑客已经拿到了某个人的用户名和密码,以及他的第一个业务码,但其他的业务码不知道。而问题在于第一个业务码会经常被用到,黑客如果照他的用户名和密码进行登录之后进行操作的话,系统会要求其输入其他的业务码,如何解决该问题?
进去之后,依然提交第一个业务码,然后抓包之后修改提交参数,把hidden_tan的值由2改为1即可。
Multi Level login 2
我是WebGoat财务系统中正常的一名客户Joe,我拥有我应该有的所有密码。现在要求利用多级登陆的漏洞,在仅仅知道Jane的名字的情况下,我要以Jane的身份登陆进去。
同样在提交业务码的时候,抓包之后修改隐藏的提交参数,把hidden_user的值由Joe改为Jane即可。
