Authentication Flaws認證缺陷
最近又拾起了webgoat系列,DC系列靶機還在下載中所以來整整這個,這兩個系列都會有個大總結,會把自己學到的一些東西寫下來分享(即使沒什麼人看),CSDN這個平臺也幫助到我很多,在這個平臺可以學到很多東西(真心佩服那些大牛)。
Password Strength
利用提供的網站來驗證密碼,這裏是想讓我們意識到強密碼和弱密碼的安全強度不同,雖然這個網站已經不復存在了;
Forgot Password
這裏給的提示是webgoat的用戶找回密碼時回答問題的答案是red,要求我們查到另外一個用戶的密碼,回答問題也就那幾個顏色(我不信還有口紅的色號,那我是真的沒有辦法了),我們自己構造一個字典,然後去跑一下就可以了
還好,是green顯示登錄成功
Basic Authentication
基本身份驗證用於保護服務器端資源。 Web服務器將發送401身份驗證請求,其中包含對所請求資源的響應。 然後,客戶端瀏覽器將使用瀏覽器提供的對話框提示用戶輸入用戶名和密碼。 瀏覽器將對用戶名和密碼進行base64編碼,然後將這些憑據發送回Web服務器。 然後,Web服務器將驗證憑據,如果憑據正確,則返回請求的資源。 將自動爲使用此機制保護的每個頁面重新發送這些憑據,而無需用戶再次輸入其憑據。
這裏介紹了basic authentication的基本過程,這裏問了兩個問題是:
1.基本身份認證的標籤是什麼?
2.用 base64 編碼的身份信息是什麼?
我們抓包會發現:
其中標籤就是這個authentication,身份信息就是後面的參數值
這裏這個參數是用base64編碼的,其實也就是我們的身份信息,當然basic是我們的標識符,然後解碼
但是怎麼登也登不上去我也不知道爲啥,上網查了查網上的版本都是guest:guest,我試着輸進去:
臥槽!!我要是能看到後臺源碼就不用花這麼長時間,難道這是更新webgoat沒有修改的地方???
然後他現在要求webgoat重新驗證我的登錄省份並且是以basic這個用戶,刷新重新抓一下包:
現在將cookie和authentication頭刪掉,點擊forward後會彈框
webgoat會重新驗證你的身份,用basic用戶登錄
登錄時抓包刪除cookie信息,然後forward會發現之前做的題目已經全部被重置,而且發現左邊這題會出現綠色對勾。
完成本課程。然後同樣的步驟使用root登錄時抓包刪除SESSIONID的值,課程記錄還在並且這題已經通過:
Multi Level Login 1
多層登錄應該提供強大的身份驗證。 通過添加第二層將其存檔。 使用用戶名和密碼登錄後,系統會要求您輸入“交易驗證碼”(TAN)。 這是網上銀行經常使用的。 您會得到一個列表,其中包含銀行僅爲您生成的大量TAN。 每個TAN僅使用一次。 另一種方法是通過SMS提供TAN。 這樣做的好處是,攻擊者無法獲取用戶提供的TAN。
總體目標:
在本課程中,您將嘗試避開強身份驗證。 您必須進入另一個帳戶。 提供用戶名,密碼和已使用的TAN。 您必須確保服務器接受TAN,即使該服務器已被使用。
登錄過程是想讓我們理解多級登錄原理和過程,接下來是第二步要求我們使用tan闖入系統,直接抓包
將hidden_tan參數改爲1就完事兒;
Multi Level Login 2
本課程是要求我們通過其他賬號進行登錄,現在只知道用戶名,用此用戶名登錄系統;
抓包改掉隱藏參數就可以登錄成功;
這系列課程也就全部完成;
總結:
1.要清楚密碼強度影響着整個系統的安全,密碼是賬戶安全的保障,構建不易被攻破的強密碼是保障安全的第一步;
2.這裏的忘記密碼驗證機制差不多已經過時,現在都是郵箱手機短信驗證但是當這些信息泄露時也是不安全的;
3.基本身份認證,客戶端瀏覽器會將用戶名密碼等憑據發送給服務端,通驗證後即可調用數據,並且瀏覽器會在每次請求時自動加載這些信息發送出去,這也就是我們每當登錄某個頁面時不需要再重新登錄的原因,常用的cookie 和 session 機制。
4.多級登錄機制就是提供了一個相對安全的驗證,但是這也面臨着一些危險