WebGoat-Session Management Flaws 感想
来源:互联网 发布:软件售后服务协议书 编辑:程序博客网 时间:2024/06/05 18:37
课程差不多都要完成了。有一些看了答案。也有一些看了提示。比如说恶意代码执行,又要提一提不了解javascript,找到一段操作本地文件的函数。结果都说执行错误,很是无语。网上搜了一下,发现是这个执行不安全,一般正常的浏览器都禁止执行脚本了。好吧,没思路了,看看提示,哦哦,试试网页。这时我才知道,原来jsp和js不是一回事。怎么感觉跟文科生一样的。好吧,又得知jsp和java同源。那问题就简单了啊,java文件操作,这个没难度。提交以下,恩,解决了。
字段检查那个很没意思,就是想表明客户端数据全部不可信。
会话攻击,有意思的来了。比如说第一个劫持。我弄得时候就没想明白,哪里来的其他客户给我劫持。弄了一大段的WEAKID看出来了序列号加上时间戳的组合。但是我一直认为是要预测下一个。就赶紧写了个脚本。不断的尝试连接,当然WEAKID是我自己预测的下一个ID。弄了一段时间,没结果。我就看提示了。告诉我就验证这个,好吧,我都尝试看看能不能破Jsession了。饿,还是不行,好吧。上答案,告诉我id会自动少一个的。好吧,用WebScarab批量请求了一下,发现少的编号,前面写的脚本加上一个暴利破解的时间戳就搞定了。这下可好,一切问题都解决了。后面的伪造和固定会话都不是什么大问题。今天就到这里差不多了。
0 0
- WebGoat-Session Management Flaws 感想
- WebGoat--Authentication Flaws-Basic Authentication 感想
- WebGoat第四关:Authentication Flaws
- 【WebGoat笔记】之二 --- Access Control Flaws
- 【WebGoat笔记】之五 --- Injection Flaws
- WebGoat学习笔记一---Access Control Flaws
- WebGoat第二关:Access Control Flaws
- 【WebGoat笔记】之五 --- Injection Flaws
- WebGoat实验之Authentication Flaws(认证缺陷) - 2016.01.09
- Session Management
- Session Management
- Session management
- Webgoat
- Ajax Session Management Timer
- Ajax Session Management Timer
- DFC Session Management 白皮书
- Session Management Cheat Sheet
- shiro 之 Session Management
- 给力PS资源-01
- static_cast
- 学习Android 的第一个项目
- 用myeclipse建立webservice服务端和客户端
- Java方法的事项注意
- WebGoat-Session Management Flaws 感想
- VS2010自带报表控件(RDLC)加载图片相关
- Android DiskLruCache完全解析,硬盘缓存的最佳方案
- NYOJ-6174问题
- 今天学的是传说中的c语言灵魂指针。。
- 在VMware10 中安装 Ubuntu14.04
- Linux下文件的隐藏属性
- response与request
- hadoop学习--学习资料获取途径