Per il contesto Recentemente ho iniziato a lavorare con il programma di formazione app WebGoat e ho colpito un muro che passa i dati a un programma necessario per completare una lezione.
Uno dei primi set di lezioni è intitolato "" Difetti di controllo degli accessi ".
La prima descrizione della lezione afferma:
The 'guest' user has access to all the files in the lessonPlans/en directory. Try to break the access control mechanism and access a resource that is not in the listed directory. After selecting a file to view, WebGoat will report if access to the file was granted. An interesting file to try and obtain might be a file like WEB-INF/spring-security.xml. Remember that file paths will be different depending on how WebGoat is started.
Current Directory is: /.extract/webapps/WebGoat/plugin_extracted/plugin/SqlNumericInjection/lessonPlans/en
Choose the file to view: (List of files is below)
La scelta di un file dall'elenco indica che è presente nell'elenco. All'inizio ho provato a digitare manualmente gli URL, ma ho realizzato che avrei dovuto modificare la richiesta in qualche modo. Ho ceduto e ho esaminato la soluzione, che afferma:
This lesson can be solved by intercepting the filename in WebScarab and replacing it with ../main.jsp which is a file located in a folder below the current directory.
Ok, quindi il mio istinto era corretto - ora sta rendendo operativa la mia intenzione in azione.
Googling ha rilevato che WebScarab == il vecchio nome per il proxy di attacco Zed di OWASP.
Più Google ha rilevato che per trasmettere i dati a ZED, avevo bisogno di configurare un proxy in Firefox .
Quindi sono andato su Firefox e ho configurato il proxy. Notare che 127.0.0.1 e localhost sono stati rimossi dal campo "Nessun proxy per",:
Tuttavia, quando ritorno a WebGoat (che è ospitato localmente su localhost: 8080 / WebGoat), nulla viene intercettato. Il traffico verso siti web esterni è è intercettato, quindi ho il sospetto che il problema sia che per qualche motivo ZAP non sta ricevendo il mio traffico WebGoat.
Mi spiace, questa è una domanda semplice, ma ho studiato molto e non riesco a trovare alcuna soluzione.
TL; DR: Come posso assicurarmi che ZED intercetti il traffico localhost durante la visualizzazione delle lezioni OWASP GOAT in Firefox? (Il traffico verso siti web esterni viene intercettato, solo il traffico localhost)