Come posso intercettare il traffico dell'host locale su / da WebGoat con il proxy di attacco ZED?

1

Per il contesto Recentemente ho iniziato a lavorare con il programma di formazione app WebGoat e ho colpito un muro che passa i dati a un programma necessario per completare una lezione.

Uno dei primi set di lezioni è intitolato "" Difetti di controllo degli accessi ".

La prima descrizione della lezione afferma:

The 'guest' user has access to all the files in the lessonPlans/en directory. Try to break the access control mechanism and access a resource that is not in the listed directory. After selecting a file to view, WebGoat will report if access to the file was granted. An interesting file to try and obtain might be a file like WEB-INF/spring-security.xml. Remember that file paths will be different depending on how WebGoat is started.

Current Directory is: /.extract/webapps/WebGoat/plugin_extracted/plugin/SqlNumericInjection/lessonPlans/en

Choose the file to view: (List of files is below)

La scelta di un file dall'elenco indica che è presente nell'elenco. All'inizio ho provato a digitare manualmente gli URL, ma ho realizzato che avrei dovuto modificare la richiesta in qualche modo. Ho ceduto e ho esaminato la soluzione, che afferma:

This lesson can be solved by intercepting the filename in WebScarab and replacing it with ../main.jsp which is a file located in a folder below the current directory.

Ok, quindi il mio istinto era corretto - ora sta rendendo operativa la mia intenzione in azione.

Googling ha rilevato che WebScarab == il vecchio nome per il proxy di attacco Zed di OWASP.

Più Google ha rilevato che per trasmettere i dati a ZED, avevo bisogno di configurare un proxy in Firefox .

Quindi sono andato su Firefox e ho configurato il proxy. Notare che 127.0.0.1 e localhost sono stati rimossi dal campo "Nessun proxy per",:

Tuttavia, quando ritorno a WebGoat (che è ospitato localmente su localhost: 8080 / WebGoat), nulla viene intercettato. Il traffico verso siti web esterni è è intercettato, quindi ho il sospetto che il problema sia che per qualche motivo ZAP non sta ricevendo il mio traffico WebGoat.

Mi spiace, questa è una domanda semplice, ma ho studiato molto e non riesco a trovare alcuna soluzione.

TL; DR: Come posso assicurarmi che ZED intercetti il traffico localhost durante la visualizzazione delle lezioni OWASP GOAT in Firefox? (Il traffico verso siti web esterni viene intercettato, solo il traffico localhost)

    
posta Greg 27.04.2017 - 17:42
fonte

2 risposte

2

Impostare l'host e la porta del proxy e cancellare il campo 'Nessun proxy per' è tutto ciò che dovresti fare. Hai provato a aggiornare la relativa pagina WebGoat (Ctrl-Shift-R)?

Uso ZAP per eseguire il proxy su applicazioni locali per tutto il tempo su Linux, Windows e Mac senza problemi.

Btw ZAP non è il nuovo nome di WebScarab, è un prodotto completamente diverso;) Ma WebScarab non viene più mantenuto mentre ZAP è sicuramente:)

    
risposta data 08.05.2017 - 16:03
fonte
1

localhost: 8080 / WebGoat e ZAP stanno lavorando sulla stessa porta (8080). Cambiare il numero di porta di ZAP o WebGoat.

Sto facendo funzionare il mio WebGoat su Port 80 e ZAP su Port 8080, che è l'impostazione predefinita

    
risposta data 02.12.2018 - 00:59
fonte

Leggi altre domande sui tag