Authentication Flaws认证缺陷
最近又拾起了webgoat系列,DC系列靶机还在下载中所以来整整这个,这两个系列都会有个大总结,会把自己学到的一些东西写下来分享(即使没什么人看),CSDN这个平台也帮助到我很多,在这个平台可以学到很多东西(真心佩服那些大牛)。
Password Strength
利用提供的网站来验证密码,这里是想让我们意识到强密码和弱密码的安全强度不同,虽然这个网站已经不复存在了;
Forgot Password
这里给的提示是webgoat的用户找回密码时回答问题的答案是red,要求我们查到另外一个用户的密码,回答问题也就那几个颜色(我不信还有口红的色号,那我是真的没有办法了),我们自己构造一个字典,然后去跑一下就可以了
还好,是green显示登录成功
Basic Authentication
基本身份验证用于保护服务器端资源。 Web服务器将发送401身份验证请求,其中包含对所请求资源的响应。 然后,客户端浏览器将使用浏览器提供的对话框提示用户输入用户名和密码。 浏览器将对用户名和密码进行base64编码,然后将这些凭据发送回Web服务器。 然后,Web服务器将验证凭据,如果凭据正确,则返回请求的资源。 将自动为使用此机制保护的每个页面重新发送这些凭据,而无需用户再次输入其凭据。
这里介绍了basic authentication的基本过程,这里问了两个问题是:
1.基本身份认证的标签是什么?
2.用 base64 编码的身份信息是什么?
我们抓包会发现:
其中标签就是这个authentication,身份信息就是后面的参数值
这里这个参数是用base64编码的,其实也就是我们的身份信息,当然basic是我们的标识符,然后解码
但是怎么登也登不上去我也不知道为啥,上网查了查网上的版本都是guest:guest,我试着输进去:
卧槽!!我要是能看到后台源码就不用花这么长时间,难道这是更新webgoat没有修改的地方???
然后他现在要求webgoat重新验证我的登录省份并且是以basic这个用户,刷新重新抓一下包:
现在将cookie和authentication头删掉,点击forward后会弹框
webgoat会重新验证你的身份,用basic用户登录
登录时抓包删除cookie信息,然后forward会发现之前做的题目已经全部被重置,而且发现左边这题会出现绿色对勾。
完成本课程。然后同样的步骤使用root登录时抓包删除SESSIONID的值,课程记录还在并且这题已经通过:
Multi Level Login 1
多层登录应该提供强大的身份验证。 通过添加第二层将其存档。 使用用户名和密码登录后,系统会要求您输入“交易验证码”(TAN)。 这是网上银行经常使用的。 您会得到一个列表,其中包含银行仅为您生成的大量TAN。 每个TAN仅使用一次。 另一种方法是通过SMS提供TAN。 这样做的好处是,攻击者无法获取用户提供的TAN。
总体目标:
在本课程中,您将尝试避开强身份验证。 您必须进入另一个帐户。 提供用户名,密码和已使用的TAN。 您必须确保服务器接受TAN,即使该服务器已被使用。
登录过程是想让我们理解多级登录原理和过程,接下来是第二步要求我们使用tan闯入系统,直接抓包
将hidden_tan参数改为1就完事儿;
Multi Level Login 2
本课程是要求我们通过其他账号进行登录,现在只知道用户名,用此用户名登录系统;
抓包改掉隐藏参数就可以登录成功;
这系列课程也就全部完成;
总结:
1.要清楚密码强度影响着整个系统的安全,密码是账户安全的保障,构建不易被攻破的强密码是保障安全的第一步;
2.这里的忘记密码验证机制差不多已经过时,现在都是邮箱手机短信验证但是当这些信息泄露时也是不安全的;
3.基本身份认证,客户端浏览器会将用户名密码等凭据发送给服务端,通验证后即可调用数据,并且浏览器会在每次请求时自动加载这些信息发送出去,这也就是我们每当登录某个页面时不需要再重新登录的原因,常用的cookie 和 session 机制。
4.多级登录机制就是提供了一个相对安全的验证,但是这也面临着一些危险
