WebGoat通关教学：Server-side Request Forgery与Client-side安全挑战<\/h1>

1. Cross-Site Request Forgeries (CSRF)<\/h2>

1-3 基础CSRF攻击<\/h3>

目标<\/strong>：绕过同源策略获取flag<\/p>

解决方案<\/strong>：<\/p>

直接点击submit query按钮会提示来自相同host<\/li>
修改请求的host头可以获取flag<\/li>
更符合CSRF原理的方法：

创建一个恶意HTML文件模拟外站<\/li>
复制提交表单的HTML代码：<\/li> <\/ul>
<html<\/span>> <\/span><\/span><body<\/span>> <\/span><\/span><form<\/span> accept-charset<\/span>=<\/span>"UNKNOWN"<\/span> id<\/span>=<\/span>"basic-csrf-get"<\/span> method<\/span>=<\/span>"POST"<\/span> <\/span><\/span> name<\/span>=<\/span>"form1"<\/span> target<\/span>=<\/span>"_blank"<\/span> successcallback<\/span>=<\/span>""<\/span> <\/span><\/span> action<\/span>=<\/span>"http:\/\/127.0.0.1:8081\/WebGoat\/csrf\/basic-get-flag"<\/span>> <\/span><\/span> <input<\/span> name<\/span>=<\/span>"csrf"<\/span> type<\/span>=<\/span>"hidden"<\/span> value<\/span>=<\/span>"false"<\/span>> <\/span><\/span> <input<\/span> type<\/span>=<\/span>"submit"<\/span> name<\/span>=<\/span>"submit"<\/span>> <\/span><\/span><\/form<\/span>> <\/span><\/span><\/body<\/span>> <\/span><\/span><\/html<\/span>> <\/span><\/span><\/code><\/pre> 在同一浏览器打开此HTML文件并点击提交按钮<\/li> <\/ul> <\/li> <\/ol> 1-4 CSRF攻击进阶<\/h3> 解决方案<\/strong>：<\/p> 同1-3，可以修改host头或构造恶意HTML表单提交<\/li> <\/ul> 1-7 JSON格式CSRF攻击<\/h3> 特点<\/strong>：JSON提交有CORS限制<\/p> 解决方案<\/strong>：<\/p> 修改host头<\/li> 将Content-Type改为text\/plain<\/code>绕过CORS检查<\/li> <\/ol> 1-8 用户名相关CSRF<\/h3> 解决方案<\/strong>：<\/p> 注册新用户，用户名为当前用户名前加csrf-<\/code>前缀<\/li> 在同一浏览器登录新用户<\/li> 点击"solved"按钮完成挑战<\/li> <\/ol> 2. Server-Side Request Forgery (SSRF)<\/h2> 2-2 服务器资源访问<\/h3> 解决方案<\/strong>：<\/p> 直接修改请求中的图片名称参数获取不同服务器资源<\/li> <\/ul> 2-3 外部资源请求<\/h3> 解决方案<\/strong>：<\/p> 修改请求参数为外部地址，服务器将返回该地址的内容<\/li> <\/ul> 3. Client-side安全挑战<\/h2> 3.1 Bypass front-end restrictions<\/h3> 特点<\/strong>：前端使用正则表达式限制输入<\/p> 解决方案<\/strong>：<\/p> 使用代理工具拦截请求<\/li> 直接修改被前端限制的参数值<\/li> 提交绕过前端验证的请求<\/li> <\/ol> 3.2 Client side filtering<\/h3> 2-2 查看隐藏数据<\/h4> 目标<\/strong>：获取Neville Bartholomew的薪水<\/p> 解决方案<\/strong>：<\/p> 查看页面源代码，薪水信息直接存在于源码中<\/li> <\/ul> 2-3 发现checkout code<\/h4> 解决方案<\/strong>：<\/p> 尝试常见code：webgoat, owasp, owasp-webgoat<\/li> 观察请求响应，发现返回不同折扣<\/li> 修改请求去除code参数，返回所有code列表<\/li> 从列表中找到所需code<\/li> <\/ol> 3.3 HTML tampering<\/h3> 3-2 修改交易数据<\/h4> 解决方案<\/strong>：<\/p> 直接拦截请求并修改交易金额数字<\/li> <\/ul> 4. Challenges挑战<\/h2> 4.1 Admin lost password<\/h3> 目标<\/strong>：找到admin密码<\/p> 解决方案<\/strong>：<\/p> 尝试SQL注入无效<\/li> 检查前端代码无果<\/li> 下载网站logo图片<\/li> 用文本编辑器打开图片，发现密码隐藏在图片元数据中<\/li> <\/ol> 4.2 Without password<\/h3> 解决方案<\/strong>：<\/p> 使用SQL注入技术绕过密码验证<\/li> <\/ul> 4.3 Admin password reset<\/h3> 特点<\/strong>：传统修改host方法失效<\/p> 解决方案<\/strong>：<\/p> 发现.git源码泄露漏洞<\/li> 访问WebGoat\/challenge\/7\/.git<\/code>下载.git文件<\/li> 分析源码发现token生成使用固定种子<\/li> 利用伪随机数特性，使用相同种子生成admin的token<\/li> <\/ol> 4.4 Without account<\/h3> 解决方案<\/strong>：<\/p> 将请求方法从GET改为HEAD<\/li> 原理：Spring Boot的@GetMapping注解不限制HEAD请求<\/li> <\/ul> 关键知识点总结<\/h2> CSRF防御绕过<\/strong>：<\/p> 修改Host头<\/li> 构造恶意表单<\/li> 处理JSON的CORS限制<\/li> <\/ul> <\/li> SSRF利用<\/strong>：<\/p> 通过参数修改访问内部资源<\/li> 构造请求访问外部资源<\/li> <\/ul> <\/li> 客户端安全<\/strong>：<\/p> 前端验证可轻易绕过<\/li> 敏感数据不应仅依赖前端隐藏<\/li> 交易关键数据需服务端验证<\/li> <\/ul> <\/li> 密码恢复漏洞<\/strong>：<\/p> 信息可能隐藏在非传统位置(如图片)<\/li> 源码泄露导致安全风险<\/li> 伪随机数的安全问题<\/li> <\/ul> <\/li> HTTP方法滥用<\/strong>：<\/p> 注解配置不当时，HEAD方法可能绕过安全控制<\/li> <\/ul> <\/li> <\/ol> 这些练习展示了Web应用常见的安全漏洞及利用方法，强调了全面防御的重要性，不应仅依赖单一安全措施。<\/p>