密保绕过 通过修改参数名来绕过认证。 原理 后端逻辑验证不完善，导致在参数名错误的情况下，无论参数值是否正确均可以通过验证。 WebGoat靶场演示 首先进行参数拦截，请求体如下 POST /WebGoat/auth-bypass/verify-account HTTP/1.1 Host: localhost:8080 Content-Length…

WebGoat 介绍 这是一个学习靶场，主要针对Java web安全进行一定的练习。 项目下载 https://github.com/WebGoat/WebGoat/releases/tag/v8.2.2 由于我现在常用的java版本比较低所以就用旧项目的jar包了。 项目运行 在jar包所在路径下打开终端，并输入下面代码运行。 java -jar…