Webgoat之Insecure Configuration

这节主要是讲不安全的配置所带来的威胁。

Forced Browsing

强制浏览是指黑客用来访问获取那些没有被引用,但仍然允许被访问的资源。其中一种方法是操纵浏览器中的URL,删除结尾部分,直到找到一个不受保护的目录。

如果想访问一个受限制的页面,需要能够猜测URL访问页面,如“/admin”,该课程要求我们猜测找到WebGoat的配置页面。

最后在URL的地址里面输入:

http://localhost:8080/WebGoat/conf

获得配置页面如下:
1

Summarize

这个攻击的关键是要猜测对正确的URL地址以获得对资源的访问,因此需要对站点的一般目录结构比较熟悉。


【版权声明】
本文首发于戚名钰的博客http://qimingyu.github.io/ ),欢迎转载,但是必须保留本文的署名戚名钰(包含链接)。如您有任何商业合作或者授权方面的协商,请给我留言:mingyuqi.java@qq.com
欢迎关注我的微信公众号:科技锐新

本文永久链接:http://qimingyu.github.io/2016/04/27/Webgoat之Insecure_Configuration/

坚持原创技术分享,您的支持将鼓励我继续创作!

热评文章