一、什么是webgoat？

WebGoat是OWASP组织研制出的用于进行web漏洞实验的应用平台，用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上，当前提供的训练课程有30多个，其中包括：跨站点脚本攻击（XSS）、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效、危险的HTML注释等等。WebGoat提供了一系列web安全学习的教程，某些课程也给出了视频演示，指导用户利用这些漏洞进行攻击。

webgoat的安装请见：https://blog.csdn.net/weixin_50012220/article/details/119209336

二、General：

2.1 HTTP Basics

这个模块介绍了浏览器和 Web 应用程序之间的数据传输以及如何使用 HTTP 代理捕获请求/响应的基础知识。

2.1.1 TRY IT!

题目：

 本题带我们了解服务器接受请求并翻转用户输入字符，以此说明HTTP请求的基础知识。

随便输入一个字符串即可，such as...我输入的是m0nh1n

 2.2 The Quiz

题目是：

题目问这个题采用了GET方式还是POST方式，通过观察法（滑稽）无法直接得到答案，

根据信息安全的知识我们了解burpsuite可以得到这些信息，那么我们来抓一下，先蒙一个GET 666进去看下

通过抓包了解到这个magic_num是34  http请求方式是POST，首次提交的答案都完美的绕开了正确答案，我们再提交一次

Congratulations！

 2.2 HTTP Proxies

介绍了HTTP的代理。HTTP Proxies位于您的客户端和客户端正在与之通信的服务器之间。 您可以记录和分析请求和响应。，您还可以使用代理 修改（篡改）请求和响应； 代理还具有自动或半自动功能，可让您提高测试和分析网站的安全性。

有很详细的步骤介绍OWASP的渗透测试工具：ZAP

楼主kali内置burpsuite，就没安，上题目~

2.2.1 Intercept and modify a request

本题要求：①、改变请求方式为GET；②、加一个请求头；③、改掉包里面的内容

burpsuite做法：

首先发个包，然后抓住（doge）

修改的两处地方如图所示，改成：

forward一下，congratulations！

 2.3 Developer Tools

本模块主要介绍了开发人员工具的菜单以及简单的应用

2.3.1 Try It! Using the console

题目：

 本题主要考察开发人员工具中控制台的应用

打开控制台，直接输入命令   webgoat.customjs.phoneHome()  即可

控制台指令反馈如下：

复制粘贴即可得到congratulations！

 2.3.2 Try It! Working with the Network tab

本题主要考察开发人员工具中 Network Tab的使用，点击Go按钮后，读取 Network Tab里面的数据即可。我们点击Go，然后打开Network Tab

随着时间的增加，栏目也越来越多，我们看哪一个好呢？题目中有提示 Try to find the specific HTTP request.可以看到有个POST方法很突兀，我们点进去，在参数里面得到：

提交上去，congratulations！

2.4  The CIA Triad

本模块主要讲了信息安全三大模型：机密性、完整性、可靠性。

题目也较为简单，几个选择题

2.4.1 Chosen

1.Solution 3: By stealing a database where names and emails are stored and uploading it to a website.

把数据库中的敏感文件并上传到网站，即破坏了  保密性的原则

2.Solution 1: By changing the names and emails of one or more users stored in a database.

 更改数据库中的敏感信息，即破坏了数据的完整性的原则

3. Solution 4: By launching a denial of service attack on the servers.

对服务器发起ddos，无法访问，即破坏了可靠性原则

4.Solution 2: The systems security is compromised even if only one goal is harmed.

即使只有一个目标（三项原则之一）受到损害，系统安全也会受到损害。正解。

最后提交，congratulations！

结语，以上就是webgoat general篇的全部攻略，各位师傅如果有不明白的地方欢迎在评论区提及或者小窗私聊~

Powered By M0nH1N