代码审计(Java)——WebGoat_AuthenticationFlaws
零、Secure Password这里没什么可审计的,经典的爆破,定期更换复杂度相当的密码吧……
一、Password reset
1.level2
https://img2022.cnblogs.com/blog/2769725/202208/2769725-20220820091038520-710654764.png
这里题目给出的信息是登录自己的WebWolf,密码是从e-mail得到的,那就开始吧~
https://img2022.cnblogs.com/blog/2769725/202208/2769725-20220820091514801-45272286.png
这里我的WebWolf不能正常访问,但是所有功能以及运行是没问题的,就先不管了,反正主要是审计,问题大概出现在jar包里面,回头再看吧~
https://img2022.cnblogs.com/blog/2769725/202208/2769725-20220820091646157-455874993.png
这里可以看41行,题目通过的答案就是你的用户名@webgoat.org,密码是用户名的反转,下面找一下password~
https://img2022.cnblogs.com/blog/2769725/202208/2769725-20220820092026593-1527225030.png
这里也能看到,WebWolf里面应该会显示这个内容,打不开就算了,随缘能运行就行……
忽然发现这个题目WebWolf就是多此一举,根本不用回显一个邮件告诉你密码,直接反转用户名就好了……还得是代审,答案就在题目里的感觉真棒~
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页:
[1]