Para el contexto, recientemente comencé a trabajar a través del programa de capacitación de WebGoat appsec, y he golpeado un muro para pasar los datos a un programa necesario para completar una lección.
Uno de los primeros conjuntos de lecciones se titula "" Fallos de control de acceso ".
La primera descripción de la lección dice:
El usuario 'invitado' tiene acceso a todos los archivos en el directorio lessonPlans / en. Intente romper el mecanismo de control de acceso y acceda a un recurso que no se encuentre en el directorio listado. Después de seleccionar un archivo para ver, WebGoat informará si se otorgó acceso al archivo. Un archivo interesante para probar y obtener puede ser un archivo como WEB-INF / spring-security.xml. Recuerde que las rutas de los archivos serán diferentes dependiendo de cómo se inicie WebGoat.
El directorio actual es: /.extract/webapps/WebGoat/plugin_extracted/plugin/SqlNumericInjection/lessonPlans/en
Elija el archivo para ver: (La lista de archivos está abajo)
Elegir un archivo de la lista da un error de que está en la lista. Al principio intenté escribir manualmente las URL, pero me di cuenta de que tenía que modificar la solicitud de alguna manera. Me derrumbé y miré la solución, que dice:
Esta lección se puede resolver interceptando el nombre de archivo en WebScarab y reemplazándolo con ../main.jsp, que es un archivo ubicado en una carpeta debajo del directorio actual.
De acuerdo, mi instinto era correcto: ahora se pone en práctica mi intención.
En Google se encontró que WebScarab == el nombre antiguo del Proxy de Ataque Zed de OWASP.
Más de Google encontró que para pasar datos a ZED, necesitaba configurar un proxy en Firefox .
Fui a Firefox y configuré el proxy. Tenga en cuenta que 127.0.0.1 y localhost se han eliminado del campo "Sin proxy para",:
Sin embargo, cuando vuelvo a WebGoat (que está alojado localmente en localhost: 8080 / WebGoat), no se intercepta nada. El tráfico a sitios web externos se está interceptado, por lo que sospecho que el problema es que, por algún motivo, ZAP no está recibiendo mi tráfico WebGoat.
Lo siento, esta es una pregunta un poco simple, pero he investigado mucho y parece que no puedo encontrar ninguna solución.
TL; DR: ¿Cómo puedo asegurarme de que ZED intercepte el tráfico del host local cuando veo las lecciones de OWASP GOAT en Firefox? (El tráfico a sitios web externos se intercepta, pero no el tráfico de localhost)