WebGoat-Introducation

Introduction

分為兩大部分，分別為webgoat和webwolf

webgoat上篇已經(jīng)談?wù)撨^(guò)了，而webwolf是配合webgoat使用的，由介紹可知其作用有

Hosting a file//加載一個(gè)文件

Receiving email///接收郵件

Landing page for incoming requests//對(duì)于未到來(lái)請(qǐng)求的加載頁(yè)面

-----可愛(ài)的分割線

four lesson

lesson1和lesson2是教程，而lesson3和4是紅色的圖標(biāo)，也是我們要完成的任務(wù)，完成后就變?yōu)榫G色

Let’s start

lesson1是關(guān)于webwolf的介紹，lesson2所談?wù)摰降腦XE（xml外部實(shí)體）***在之后的SQL注入中會(huì)涉及

lesson3

任務(wù)目標(biāo)
在webgoat中send email （郵件格式：用戶名@webgoat.org），在wbwolf中接收郵件，將收到的code填入webgoat中
1.發(fā)送郵件（webgoat）

2. 收到郵件（webwolf）
   
   答案出來(lái)
   

將code填入完成
完成！??！

lesson4

1.點(diǎn)擊鏈接重置密碼

2.可以在web開(kāi)發(fā)工具中看到輸入的內(nèi)容

同理，將code填入完成
完成?。。?/p>

-----盤他的分割線

簡(jiǎn)單理解兩個(gè)簡(jiǎn)單的釣魚(yú)測(cè)試的過(guò)程（由webgoat提供）
Suppose we tricked a user to click on a link he/she received in an email（欺騙用戶點(diǎn)擊鏈接，這個(gè)鏈接就是一個(gè) 誘餌）, this link will open up our crafted password reset link page（打開(kāi)了密碼重置的頁(yè)面）. The user does not see any difference with the normal password reset page of the company（用戶是不知道的）. The user enters a new password and hits enter（用戶輸入新的密碼并點(diǎn)擊了回車）, the new password will be send to your host（而新的密碼送到我們這里）. In this case the new password will be send to WebWolf（當(dāng)然了，這個(gè)例子中是送到了webwolf）. Try to locate the unique code.

Please be aware after resetting the password the user will receive an error page in a real attack scenario the user would probably see a normal success page (this is due to a limit what we can control with WebWolf)（如果是真實(shí)的釣魚(yú)情況下，用戶可能會(huì)看到一個(gè)成功的頁(yè)面，這個(gè)還要具體實(shí)踐，畢竟使用webwolf是有限制的）