Introduction

分為兩大部分，分別為webgoat和webwolf

成都創(chuàng)新互聯(lián)公司主要從事成都網(wǎng)站設(shè)計、成都網(wǎng)站制作、網(wǎng)頁設(shè)計、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)烏達,10余年網(wǎng)站建設(shè)經(jīng)驗,價格優(yōu)惠、服務(wù)專業(yè),歡迎來電咨詢建站服務(wù):18980820575

webgoat上篇已經(jīng)談?wù)撨^了，而webwolf是配合webgoat使用的，由介紹可知其作用有

Hosting a file//加載一個文件

Receiving email///接收郵件

Landing page for incoming requests//對于未到來請求的加載頁面

-----可愛的分割線

four lesson

lesson1和lesson2是教程，而lesson3和4是紅色的圖標，也是我們要完成的任務(wù)，完成后就變?yōu)榫G色

Let’s start

lesson1是關(guān)于webwolf的介紹，lesson2所談?wù)摰降腦XE（xml外部實體）***在之后的SQL注入中會涉及

lesson3

任務(wù)目標
在webgoat中send email （郵件格式：用戶名@webgoat.org），在wbwolf中接收郵件，將收到的code填入webgoat中
1.發(fā)送郵件（webgoat）

2. 收到郵件（webwolf）
   
   答案出來
   

將code填入完成
完成?。?！

lesson4

1.點擊鏈接重置密碼

2.可以在web開發(fā)工具中看到輸入的內(nèi)容

同理，將code填入完成
完成?。。?/p>

-----盤他的分割線

簡單理解兩個簡單的釣魚測試的過程（由webgoat提供）
Suppose we tricked a user to click on a link he/she received in an email（欺騙用戶點擊鏈接，這個鏈接就是一個 誘餌）, this link will open up our crafted password reset link page（打開了密碼重置的頁面）. The user does not see any difference with the normal password reset page of the company（用戶是不知道的）. The user enters a new password and hits enter（用戶輸入新的密碼并點擊了回車）, the new password will be send to your host（而新的密碼送到我們這里）. In this case the new password will be send to WebWolf（當然了，這個例子中是送到了webwolf）. Try to locate the unique code.

Please be aware after resetting the password the user will receive an error page in a real attack scenario the user would probably see a normal success page (this is due to a limit what we can control with WebWolf)（如果是真實的釣魚情況下，用戶可能會看到一個成功的頁面，這個還要具體實踐，畢竟使用webwolf是有限制的）