natnaelhhaile/owasp-web-attacks-demo

GitHub: natnaelhhaile/owasp-web-attacks-demo

一个基于 OWASP WebGoat 的 Web 应用安全实验项目,完整记录了常见 Web 漏洞的识别、分析、受控利用及缓解策略。

Stars: 0 | Forks: 0

![Security](https://img.shields.io/badge/Security-Web%20Application%20Testing-blue) ![OWASP](https://img.shields.io/badge/OWASP-WebGoat-green) ![Burp Suite](https://img.shields.io/badge/Tool-Burp%20Suite-orange) ![Status](https://img.shields.io/badge/Status-Completed-success) # Web 应用安全实验室 这是一个实践性的应用安全项目,使用 OWASP WebGoat、Burp Suite、Firefox Developer Tools 和自定义的概念验证 exploit 展示了常见的 Web 漏洞。 该仓库记录了对几种广为人知的 Web 应用漏洞的识别、分析和受控的漏洞利用过程,包括 SQL Injection、Cross-Site Scripting (XSS)、Cross-Site Request Forgery (CSRF) 和 Path Traversal。 该项目侧重于理解这些漏洞是如何产生的、攻击者如何利用它们,以及组织如何通过安全开发实践来降低相关风险。 ## 项目目标 * 获得关于常见 Web 应用漏洞的实践经验 * 熟悉应用安全测试工作流 * 分析 HTTP 请求与响应 * 在安全的环境中执行受控的漏洞利用 * 记录发现的问题和缓解策略 * 加深对安全软件开发原则的理解 ## 涵盖的漏洞 | Vulnerability | CWE | Skills Demonstrated | | --------------------------------- | ------- | ---------------------------------------------------------------------------- | | SQL Injection | CWE-89 | Query manipulation, authentication bypass, data access control analysis | | Cross-Site Scripting (XSS) | CWE-79 | Input validation testing, output encoding analysis, client-side security | | Cross-Site Request Forgery (CSRF) | CWE-352 | Session abuse testing, request replication, authentication workflow analysis | | Path Traversal | CWE-22 | File system security assessment, request tampering, filter bypass testing | ## 使用的工具 ### OWASP WebGoat 用作主要的训练平台,用于模拟故意设计有漏洞的 Web 应用。 探索的主题: * SQL Injection * XSS * CSRF * Path Traversal * 输入验证弱点 * 访问控制问题 ### Burp Suite 用于: * HTTP 流量拦截 * 请求分析 * 请求修改 * 参数篡改 * 安全测试工作流 ### Firefox 开发者工具 用于: * 源代码审查 * 路由发现 * 客户端分析 * DOM 审查 * JavaScript 调试 ### Visual Studio Code 用于创建: * CSRF 概念验证表单 * 测试 payload * 攻击演示 * 文档工件 ## 安全测试方法论 本仓库中的练习遵循结构化的测试过程: ``` Information Gathering ↓ Attack Surface Discovery ↓ Traffic Analysis ↓ Input Validation Testing ↓ Vulnerability Identification ↓ Controlled Exploitation ↓ Impact Assessment ↓ Documentation & Mitigation ``` 此工作流反映了应用安全评估和渗透测试中常用的方法。 ## 展示的核心技能 ### 应用安全 * 漏洞评估 * 安全测试 * 攻击模拟 * 安全验证 ### Web 技术 * HTTP/HTTPS * Session 管理 * HTML 表单 * 浏览器安全模型 * 客户端-服务端架构 ### 安全概念 * 认证与授权 * 输入验证 * 输出编码 * 访问控制 * 纵深防御 * 最小权限原则 ### 分析与文档记录 * 技术报告 * 根本原因分析 * 安全影响评估 * 缓解方案规划 ## 学习成果 通过这些练习,我获得了以下方面的实践经验: * 识别易受攻击的应用组件 * 分析 Web 流量和应用行为 * 构建和测试攻击 payload * 评估安全控制措施 * 了解现实世界中的攻击方法 * 以结构化和可重现的方式记录发现 该项目进一步巩固了安全编码实践、分层安全控制以及在整个软件开发生命周期中进行持续应用安全测试的重要性。 ## 免责声明 本仓库中记录的所有活动均仅在专为安全培训而设计的、故意存在漏洞的教育环境中进行。 未对生产系统、第三方应用或未经授权的目标进行任何测试。 本项目的目的纯粹是为了教育和防御,重点是理解漏洞和提高安全意识。 ## 作者 Natnael Haile
标签:CISA项目, CSRF, Web安全, XSS, 安全测试, 攻击性安全, 漏洞情报, 蓝队分析