这节主要是讲不安全的配置所带来的威胁。
Forced Browsing
强制浏览是指黑客用来访问获取那些没有被引用,但仍然允许被访问的资源。其中一种方法是操纵浏览器中的URL,删除结尾部分,直到找到一个不受保护的目录。
如果想访问一个受限制的页面,需要能够猜测URL访问页面,如“/admin”,该课程要求我们猜测找到WebGoat的配置页面。
最后在URL的地址里面输入:
获得配置页面如下:
Summarize
这个攻击的关键是要猜测对正确的URL地址以获得对资源的访问,因此需要对站点的一般目录结构比较熟悉。
【版权声明】
本文首发于戚名钰的博客,欢迎转载,但是必须保留本文的署名戚名钰(包含链接)。如您有任何商业合作或者授权方面的协商,请给我留言:qimingyu.security@foxmail.com
欢迎关注我的微信公众号:科技锐新
本文永久链接:http://qimingyu.github.io/2016/04/27/Webgoat之Insecure_Configuration/
