¿Cómo puedo interceptar el tráfico de localhost hacia / desde WebGoat con el proxy de ataque ZED?

1

Para el contexto, recientemente comencé a trabajar a través del programa de capacitación de WebGoat appsec, y he golpeado un muro para pasar los datos a un programa necesario para completar una lección.

Uno de los primeros conjuntos de lecciones se titula "" Fallos de control de acceso ".

La primera descripción de la lección dice:

  

El usuario 'invitado' tiene acceso a todos los archivos en el directorio lessonPlans / en. Intente romper el mecanismo de control de acceso y acceda a un recurso que no se encuentre en el directorio listado. Después de seleccionar un archivo para ver, WebGoat informará si se otorgó acceso al archivo. Un archivo interesante para probar y obtener puede ser un archivo como WEB-INF / spring-security.xml. Recuerde que las rutas de los archivos serán diferentes dependiendo de cómo se inicie WebGoat.

     

El directorio actual es: /.extract/webapps/WebGoat/plugin_extracted/plugin/SqlNumericInjection/lessonPlans/en

     

Elija el archivo para ver: (La lista de archivos está abajo)

Elegir un archivo de la lista da un error de que está en la lista. Al principio intenté escribir manualmente las URL, pero me di cuenta de que tenía que modificar la solicitud de alguna manera. Me derrumbé y miré la solución, que dice:

  

Esta lección se puede resolver interceptando el nombre de archivo en WebScarab y reemplazándolo con ../main.jsp, que es un archivo ubicado en una carpeta debajo del directorio actual.

De acuerdo, mi instinto era correcto: ahora se pone en práctica mi intención.

En Google se encontró que WebScarab == el nombre antiguo del Proxy de Ataque Zed de OWASP.

Más de Google encontró que para pasar datos a ZED, necesitaba configurar un proxy en Firefox .

Fui a Firefox y configuré el proxy. Tenga en cuenta que 127.0.0.1 y localhost se han eliminado del campo "Sin proxy para",:

Sin embargo, cuando vuelvo a WebGoat (que está alojado localmente en localhost: 8080 / WebGoat), no se intercepta nada. El tráfico a sitios web externos se está interceptado, por lo que sospecho que el problema es que, por algún motivo, ZAP no está recibiendo mi tráfico WebGoat.

Lo siento, esta es una pregunta un poco simple, pero he investigado mucho y parece que no puedo encontrar ninguna solución.

TL; DR: ¿Cómo puedo asegurarme de que ZED intercepte el tráfico del host local cuando veo las lecciones de OWASP GOAT en Firefox? (El tráfico a sitios web externos se intercepta, pero no el tráfico de localhost)

    
pregunta Greg 27.04.2017 - 17:42
fuente

2 respuestas

2

Todo lo que debe hacer es configurar el puerto y el host proxy y borrar el campo 'No proxy for'. ¿Ha intentado actualizar la página WebGoat relevante (Ctrl-Shift-R)?

Uso ZAP para hacer proxy de aplicaciones locales todo el tiempo en Linux, Windows y Mac sin ningún problema.

Btw ZAP no es el nuevo nombre de WebScarab, es un producto completamente diferente;) Pero WebScarab ya no se mantiene mientras que ZAP definitivamente lo es :)

    
respondido por el Simon Bennetts 08.05.2017 - 16:03
fuente
1

localhost: 8080 / WebGoat y ZAP están trabajando en el mismo puerto (8080). Cambie el número de puerto de ZAP o WebGoat.

Estoy haciendo que mi WebGoat funcione en el Puerto 80 y ZAP en el Puerto 8080, que es el predeterminado

    
respondido por el Anil Keshari 02.12.2018 - 00:59
fuente

Lea otras preguntas en las etiquetas