TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT TP HCM KHOA CÔNG NGHỆ THÔNG TIN... HTTP Basics Bật chế độ developer và tìm magic number:... 2.2.3 Đăng nhập vào WebGoat Đăng nhập thành công:... ZAP nhận
Trang 1TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT TP HCM KHOA CÔNG NGHỆ THÔNG TIN
BÁO CÁO THỰC HÀNH MÔN HỌC BẢO MẬT WEB BUỔI 2: SQL INJECTION
GVHD: Lê Thị Minh Châu
SVTH: Phạm Quỳnh Hương
MSSV: 20110141
Mã lớp học: WESE331479_22_2_01
Trang 2MỤC LỤC
I – Introduction 1
1.1 WebGoat 1
1.2 WebWolf 1
II – General 3
2.1 HTTP Basics 3
2.2 HTTP Proxies 4
2.2.2 HTTP Proxy Setup 4
2.2.3 Đăng nhập vào WebGoat 5
2.2.4 Bật filter 7
2.2.5 Configure Breakpoint Header 8
2.2.6 Edit and resend in ZAP 11
2.2.7 Proxy from ZAP to HTTPS 14
2.2.8 Manually Setting Proxy 18
2.3 Developer Tools 25
2.3.2 The Elements Tab 25
2.3.3 The Console Tab 26
2.3.4 Sử dụng console 27
2.4 CIA Triad 31
Trang 4Landing page:
Trang 5II – General
2.1 HTTP Basics
Bật chế độ developer và tìm magic number:
Trang 6Tìm thành công:
2.2 HTTP Proxies
Trang 72.2.3 Đăng nhập vào WebGoat
Đăng nhập thành công:
Trang 8ZAP nhận được request:
Trang 92.2.4 Bật filter
Kết quả:
Trang 102.2.5 Configure Breakpoint Header
Nhấn submit để test breakpoint vừa tạo:
Nhận error vì breakpoint đã bật:
Trang 11Chỉnh lại HTTP Message:
Trang 12Kết quả:
Trang 132.2.6 Edit and resend in ZAP
Send email để lấy thông tin request:
Mở lại request cần send:
Trang 202.2.8 Manually Setting Proxy
Tìm hostnames file trên Window:
Chỉnh hostname thành www.webgoat.local:
Trang 21Chỉnh sửa lại thông tin HTTP Proxy:
Truy cập thành công với URL “http://www.webgoat.local:8080/WebGoat”
Trang 222.2.9 Burp Proxy
Tạo project mới:
Trang 23Tắt Intercept và mở WebGoat bằng Broswer trên Burp
Trang 25Edit Request Interception Rules:
Trang 26Chỉnh Match condition thành “(^mvc$|^txt$|^woff$|^lesson$|^gif$|^jpg$|^png$|^css$|^js$|^ico$)”
Bật Intercept:
Trang 272.3 Developer Tools
2.3.2 The Elements Tab
Xem HTML Source:
Xem CSS Source:
Trang 282.3.3 The Console Tab
CLTRL + L hoặc tạo hàm clear() để xóa màn hình:
Trang 292.3.4 Sử dụng console
Chạy hàm javascript webgoat.customjs.phoneHome():
Ta tìm được giá trị phoneHome là 1139681505
Trang 312.3.5 The Source Tab
2.3.6 Network Tab
Nhấn nút Go để tạo một POST request:
Vào payload ta nhận được networkNum là 86.6212398295277
Kết quả:
Trang 332.4 CIA Triad