WebGoat系列实验Denial of Service & Insecure Communication

WebGoat系列实验Denial of Service & Insecure Communication

ZipBomb

1. 服务器仅接收ZIP文件，将上传的文件解压，进行操作之后删除。已知服务器提供了20MB的临时存储空间用于处理所有请求，实验需要上传一个文件来执行DOS攻击，消耗掉所有临时存储空间。
2. 需要制作一个Zip炸弹，首先生成一张图片，并制作这一张图片的多个备份，之后将多个图片压缩，注意保持Zip文件不超过2MB，压缩前总文件大小超过20MB即可。

Denial of Service from Multiple Logins

1. 实验网站允许用户多次登录，数据库连接池允许2个连接。需要获取账户列表并创建3个连接。
2. 猜测网站用户使用了弱口令，在用户名与密码的位置填写admin，点击Login按钮，提示登录失败，但是却显示了sql查询语句。
3. 尝试使用sql注入获取账户列表，用户名与密码填写'or'1'='1，点击Login，果然服务器返回账户列表。
4. 使用用户jsnow进行登录，另外打开两个标签页，也使用用户jsnow登录，over。

Insecure Login

STAGE1

1. 点击Submit按钮，使用Burp拦截GET请求报文，发现密码的明文是sniffy。

STAGE2

1. 使用HTTPS协议，再次嗅探密码的明文。
2. 无法嗅探到密码的明文。