零、Secure Password
这里没什么可审计的,经典的爆破,定期更换复杂度相当的密码吧……
一、Password reset
1.level2
这里题目给出的信息是登录自己的WebWolf,密码是从e-mail得到的,那就开始吧~
这里我的WebWolf不能正常访问,但是所有功能以及运行是没问题的,就先不管了,反正主要是审计,问题大概出现在jar包里面,回头再看吧~
这里可以看41行,题目通过的答案就是你的用户名@webgoat.org,密码是用户名的反转,下面找一下password~
这里也能看到,WebWolf里面应该会显示这个内容,打不开就算了,随缘能运行就行……
忽然发现这个题目WebWolf就是多此一举,根本不用回显一个邮件告诉你密码,直接反转用户名就好了……还得是代审,答案就在题目里的感觉真棒~
标签:审计,用户名,Java,WebWolf,AuthenticationFlaws,密码,题目,WebGoat From: https://www.cnblogs.com/wavesky/p/16607166.html