第1页 / 共108页
第2页 / 共108页
第3页 / 共108页
第4页 / 共108页
第5页 / 共108页
第6页 / 共108页
第7页 / 共108页
第8页 / 共108页
OWASP Mutillidae 靶机实验指导书.pdf
OWASP Mutillidae Ⅱ 实验指导书
使用说明
可选配置
顶级菜单栏中
左侧菜单栏
漏洞列表
视频
页面提示
安全模式
“帮助我”按钮
气泡提示
请给我一些提示
注意
白皮书
漏洞清单
OWASP Top 10 应用安全风险-2017
A1-Injection注入
1.1 SQL注入
1.1.1 提取数据
1.1.2 绕过身份验证
1.1.3 插入注入
1.1.4 通过时序盲SQL注入
1.1.6 SQLMAP实践
1.1.7 通过JavaScript对象表示法(JSON)
1.1.8 通过SOAP Web服务
1.1.9 通过REST Web服务
1.1.1 提取数据
1.2 应用日志注入
1.3 缓冲区溢出
1.4 层叠样式表注入
1.5 CBC字节翻转
1.6 命令注入
1.8 帧源注入
1.9 HTML注入
1.9.1 通过HTTP头注入
1.9.2 通过DOM注入
1.9.3 通过Cookie注入
1.10 HTTP参数污染
1.11 JavaScript注入
1.12 JSON注入
1.13 参数添加
1.14 XML外部实体注入
1.15 XML实体扩展
1.16 XML注入
1.17 XPath注入
A2-失效的身份认证和会话管理
2.1 身份验证绕过
2.2 特权升级
2.3 用户名枚举
A3-敏感数据泄露
3.1 信息披露
3.1.1 robots.txt
3.1.2 “秘密”管理或配置页面
3.1.3 HTML-5 Web存储注入
3.1.4 客户端评论
3.1.5 缓存控制
3.1.6 点击劫持
3.1.3 跨站点框架(第三方框架)
3.2 应用程序路径披露
3.3 平台路径披露
3.3 SSL配置错误
A4-XML外部实体(XXE)
4.1 XML外部实体注入
A5-失效的访问控制
5.1 不安全的直接对象应用
5.1.1 本地文件包含
5.1.2 远程文件包含
5.2 缺少功能级访问控制
5.2.1 客户端安全控制旁路
A6-安全配置错误
6.1 目录浏览
6.2 方法篡改
6.3 用户代理模拟
6.4 无限制的文件上传
6.5 SSL配置错误
6.6 robots.txt
6.7 缓存控制
6.8 点击劫持
A7-跨站脚本(XSS)
A8-不安全的反序列化
A9-使用含有已知漏洞的组件
9.1 CBC字节翻转
9.2 SSL配置错误
A10-不足的日志记录和监控
OWASP Mutillidae II 实验指导书 目录
目录
OWASP Mutillidae Ⅱ 实验指导书 ............................................................................................................. 3
使用说明 ...................................................................................................................................................... 3
可选配置 ............................................................................................................................................. 3
顶级菜单栏中 .................................................................................................................................... 3
左侧菜单栏 ......................................................................................................................................... 3
漏洞列表 ............................................................................................................................................. 4
视频 ...................................................................................................................................................... 4
页面提示 ............................................................................................................................................. 4
安全模式 ............................................................................................................................................. 4
“帮助我”按钮 ..................................................................................................................................... 4
气泡提示 ............................................................................................................................................. 4
请给我一些提示 ............................................................................................................................... 5
注意 ...................................................................................................................................................... 5
白皮书 .................................................................................................................................................. 5
漏洞清单 ...................................................................................................................................................... 6
OWASP Top 10 应用安全风险-2017 ........................................................................................................... 15
A1-Injection 注入 .................................................................................................................................... 15
1.1 SQL 注入 ................................................................................................................................... 15
1.2 应用日志注入 ......................................................................................................................... 30
1.3 缓冲区溢出 ............................................................................................................................. 31
1.4 层叠样式表注入 .................................................................................................................... 31
1.5 CBC 字节翻转 .......................................................................................................................... 32
1.6 命令注入 .................................................................................................................................. 34
1.8 帧源注入 .................................................................................................................................. 37
1.9 HTML 注入 ................................................................................................................................. 37
1.10 HTTP 参数污染 ..................................................................................................................... 42
1.11 JavaScript 注入 ................................................................................................................. 43
1.12 JSON 注入 ............................................................................................................................... 44
1.13 参数添加 ................................................................................................................................ 51
1.14 XML 外部实体注入 .............................................................................................................. 51
1.15 XML 实体扩展 ........................................................................................................................ 54
1.16 XML 注入 ................................................................................................................................. 55
1.17 XPath 注入 ............................................................................................................................ 55
A2-失效的身份认证和会话管理 ........................................................................................................ 57
2.1 身份验证绕过 ......................................................................................................................... 57
2.2 特权升级 .................................................................................................................................. 58
2.3 用户名枚举 ............................................................................................................................. 59
A3-敏感数据泄露 .................................................................................................................................... 60
3.1 信息披露 .................................................................................................................................. 60
3.2 应用程序路径披露 ................................................................................................................ 72
3.3 平台路径披露 ......................................................................................................................... 72
第 1 页/共 108 页
OWASP Mutillidae II 实验指导书 目录
3.3 SSL 配置错误 .......................................................................................................................... 72
A4-XML 外部实体(XXE) .................................................................................................................. 73
4.1 XML 外部实体注入 ................................................................................................................. 73
A5-失效的访问控制 ............................................................................................................................... 76
5.1 不安全的直接对象应用 ...................................................................................................... 76
5.2 缺少功能级访问控制 ........................................................................................................... 79
A6-安全配置错误 .................................................................................................................................... 84
6.1 目录浏览 .................................................................................................................................. 84
6.2 方法篡改 .................................................................................................................................. 84
6.3 用户代理模拟 ......................................................................................................................... 85
6.4 无限制的文件上传 ................................................................................................................ 85
6.5 SSL 配置错误 .......................................................................................................................... 96
6.6 robots.txt ............................................................................................................................. 96
6.7 缓存控制 .................................................................................................................................. 97
6.8 点击劫持 .................................................................................................................................. 97
A7-跨站脚本(XSS) ............................................................................................................................ 98
A8-不安全的反序列化 ........................................................................................................................ 106
A9-使用含有已知漏洞的组件........................................................................................................... 107
9.1 CBC 字节翻转 ........................................................................................................................ 107
9.2 SSL 配置错误 ........................................................................................................................ 107
A10-不足的日志记录和监控 ............................................................................................................. 108
第 2 页/共 108 页
OWASP Mutillidae II 实验指导书 使用说明
OWASP Mutillidae Ⅱ 实验指导书
使用说明
Mutillidae 通过 PHP 实现了 OWASP 2013 年、2010 年和 2007 年十大漏洞。
此外,各种页面上还添加了 SANS Top 25 编程错误和选择信息泄露的漏洞。
可选配置
教学视频可用于帮助设置 HTTPS TLS 证书或 Apache 虚拟主机
如何在 Apache 中创建自签名证书:
https://www.youtube.com/watch?v=sJd0ir9-jSc
如何在 Apache 创建虚拟主机:
https://www.youtube.com/watch?v=79mOiU3GfnQ
顶级菜单栏中
主页:将用户带到主页
登录/注册:使用户登录页面
切换提示:显示或隐藏易受攻击页面
上的提示显示弹出提示:显示页面易受攻击区域的弹出提示
切换安全性:更改不安全,客户端安全和安全
强制 SSL 之间的安全级别:强制执行时,Mutillidae 自动将所有 HTTP 请求
重定向到 HTTPS
重置 DB:删除并重建所有数据库表并重置项目
View Log:让用户查看日志
查看捕获的数据:让用户查看捕获的数据
左侧菜单栏
左侧的菜单按类别和漏洞进行组织。由于类别之间存在重叠,因此某些漏洞
将存在多个类别中。Mutillidae 中的每个页面都会暴露多个漏洞。某些页面在
同一页面上有六个和/或多个关键漏洞。该页面将显示在每个漏洞下的菜单中。
第 3 页/共 108 页
OWASP Mutillidae II 实验指导书 使用说明
漏洞列表
见漏洞清单。
视频
Webpwnized YouTube 频道上的视频可能会有所帮助。视频包括安装、使用
Burp-Suite 等工具以及针对各种漏洞的攻击。
视频教程:http://www.youtube.com/user/webpwnized
页面提示
除了菜单,这将是新手的最重要的功能。要启用提示,请切换“显示提示”
按钮(顶部菜单栏)。如果页面包含漏洞,则会出现提示部分。提示是“智能”
的,仅显示有助于特定页面的提示。
安全模式
Mutillidae 目前有三种模式:完全不安全,客户端安全和安全。在不安全和
客户端模式下,页面至少容易受到菜单中的主题的影响。请注意,客户端安全模
式与不安全模式一样容易受到攻击,但 JavaScript 验证或 HTML 控件使攻击更加
困难。
在安全模式下,Mutillidae 尝试使用服务器端脚本保护页面。此外,提示被
禁用。
可以使用顶部菜单栏上的“切换安全性”按钮更改模式。
“帮助我”按钮
“帮助我”按钮提供了用户应尝试利用的页面上的漏洞的基本描述。使用此
按钮可快速获取问题列表。使用提示查看更多详细信息。
气泡提示
如果启用了“气泡提示”(顶部菜单栏),当用户将鼠标悬停在易受攻击的字
段或区域上时,一些易受攻击的位置将弹出气泡提示。
第 4 页/共 108 页
OWASP Mutillidae II 实验指导书 使用说明
请给我一些提示
提 示 通 常 会 提 供 一 些 漏 洞 。 用 于 测 试 Mutillidae 的 已 知 漏 洞 位 于
/documentation/mutillidae-test-scripts.txt 中。每个漏洞都有一些文档可
以解释用法和位置。
注意
Mutillidae 是一个“现场”系统。漏洞是真实的而不是模仿的。这消除了
必须“知道作者想要什么”的挫败感。因此,可能存在未记录的漏洞。此外,该
项 目 危 及 其 运 行 的 任 何 机 器 。 最 佳 做 法 是 在 与 网 络 隔 离 的 虚 拟 机 中 运 行
Mutillidae,该虚拟机仅在使用 Mutillidae 时启动。已尽一切努力使 Mutillidae
能完全脱机运行。
白皮书
项目白皮书可用于解释 Mutillidae 的特征和建议的用例。
OWASP Mutillidae II Web 笔测试培训环境简介:
https://www.sans.org/reading-
room/whitepapers/application/introduction-owasp-mutillidae-ii-web-
pen-test-training-environment-34380
第 5 页/共 108 页
OWASP Mutillidae II 实验指导书 漏洞清单
漏洞清单
1) 应用程序异常
2) 应用日志注入
3) 申请路径披露
29) 本地文件包含
30) 对数注射
31) 方法篡改
4) 身份验证通过 SQL 注入绕过
32) O / S 命令注入
5) 暴力秘密管理页面
33) 参数添加
6) 缓冲区溢出
7) 级联样式表注入
8) CBC 位翻转(最新)
9) 点击劫持
10) 客户端安全性
11) 敏感数据的评论
12) 未指定内容类型
34) 使用 GET 方法提交的密码字
段
35) 路径相对样式表注入
36) PHPMyAdmin 控制台
37) PHP 服务器配置披露
38) 网络钓鱼
39) 平台路径披露
13) Cookie 作用域为父域
40) 通过 Cookie 注入提升权限
14) 信用卡号码披露
15) 跨站点请求伪造
16) 拒绝服务
17) 目录浏览
18) DOM 注入
19) 表单缓存
20) 帧源注入
21) HTML 注入
22) HTTP 参数污染
41) 通过 GET,POST,Cookie 和
HTTP 标头反映的跨站点脚本
42) 远程文件包含
43) robots.txt 信息披露
44) 存储的跨站点脚本
45) SSL 剥离
46) SQL 注入
47) XML 实体扩展
48) XML 注入
23) 通过 HTML 评论披露信息
49) XML 外部实体注入
24) 不安全的 Cookie
25) JavaScript 注入
50) XPath 注入
51) 未加密的数据库凭据
26) JavaScript 验证绕过
52) 无限制的文件上传
27) JSON 注入
28) 加载任意文件
53) 用户名枚举
54) 未经验证的重定向和转发
第 6 页/共 108 页
OWASP Mutillidae II 实验指导书
漏洞清单
页面漏洞列表
注意:标有*的页面很常见。这意味着他们的漏洞将出现在大多数页面上。
序号
页面
存在的漏洞
1
add-to-your-blog.php
博客条目上的 SQL 注入
登录用户名的 SQL 注入
博客条目上的跨站点脚本
登录用户名的跨站点脚本
记录登录用户名的日志注入
跨站点请求伪造
JavaScript 验证绕过
通过登录用户名在表单标题中的
XSS
博客输入字段中的 HTML 注入
应用程序异常输出
应用日志注入
已知易受攻击的输出:名称,评论,
“添加博客”标题
系统文件泄露
从任何站点加载任何页面
通过“page”URL 参数中的值反映
XSS
2
arbitrary-file-inclusion.php
服务器端包括
3
authorization-required.php
HTML 注入
远程文件包含
本地文件包含
方法篡改
没有已知的漏洞。我们应该加点东
西。
此页面仅用于安全模式。在不安全
模式下,该站点不授权用户。
通过 referer HTTP 头反射 XSS
4
back-button-discussion.php
JS 注入通过 referer HTTP 头
通过 referer HTTP 头注入 HTML
第 7 页/共 108 页
OWASP Mutillidae II 实验指导书
漏洞清单
未经验证的重定向
通过 referer HTTP 头反射 XSS
JS 注入通过 referer HTTP 头
5
browser-info.php
HTML 注入
6
capture-data.php
7
captured-data.php
通过用户代理字符串 HTTP 标头反
映 XSS
通过任何 GET,POST 或 Cookie 进
行 XSS
通过任何 GET,POST 或 Cookie 插
入基于 SQL 的注入
HTML 注入
应用日志注入
通过发送到捕获数据页面的任何
GET,POST 或 Cookie 存储 XSS。
(capture-data.php 页面将捕获
的 值 写 入 此 页 面 读 取 的 表 ;
captured-data.php(带“d”))
通过发送到捕获数据页面的任何
GET,POST 或 Cookie 进行 HTML 注
入
client-side-comments.php
敏感数据的评论
8
9
client-side-control-
challenge.php
10
config.inc*
反映跨站点脚本
HTML 注入
方法篡改
客户端控制旁路
包含未加密的数据库凭据
注意:此页面是金丝雀; 目标。它
没有在项目中使用。凭据仅为默认
值。如果项目设置不同,凭据可能
不正确
11
credits.php
未经验证的重定向和转发
12
database-offline.php
这不是已知的。也许我们应该添加
一些。
第 8 页/共 108 页
相关推荐
2023年江西萍乡中考道德与法治真题及答案.doc
2012年重庆南川中考生物真题及答案.doc
2013年江西师范大学地理学综合及文艺理论基础考研真题.doc
2020年四川甘孜小升初语文真题及答案I卷.doc
2020年注册岩土工程师专业基础考试真题及答案.doc
2023-2024学年福建省厦门市九年级上学期数学月考试题及答案.doc
2021-2022学年辽宁省沈阳市大东区九年级上学期语文期末试题及答案.doc
2022-2023学年北京东城区初三第一学期物理期末试卷及答案.doc
2018上半年江西教师资格初中地理学科知识与教学能力真题及答案.doc
2012年河北国家公务员申论考试真题及答案-省级.doc
2020-2021学年江苏省扬州市江都区邵樊片九年级上学期数学第一次质量检测试题及答案.doc
2022下半年黑龙江教师资格证中学综合素质真题及答案.doc
