WebGoat靶场实践（二）写在开头：当当当，今日更新来啦，承接上篇文章WebGoat靶场实践（一），不再重复赘述，直接步入主题。第二关Injection Flaws本关主要是在说注入攻击，sql注入和xxe（其实个人觉得这里放xss更合适），而且sql的排版也有问题，不应该是从低到高么（小声bb。。）说到注入，其实本质就一句话：把用户输入的数据当作代码执行。达成注入，需要满足两个关

WebGoat靶场实践（一）写在开头：之前发布过此文章，但是像老太太裹脚布一样，所以今天闲暇之余做下整理并且加些内容。此外，以下内容所涉及WebGoat版本皆为M21，且大部分采用黑盒的方式。WebGoat概述WebGoat是OWASP组织研制出的用于进行web漏洞实验的Java靶场程序，用来说明web应用中存在的安全漏洞。WebGoat运行在带有java虚拟机的平台之上，当前提供的训练课程有30

一、前言OSINT(公开资源情报)，拥有大量数据，方便了网安人员在信息搜集阶段对攻击目标攻击面的扩大，亦或者是对最新爆出的漏洞的真实测试（作为一名守法的安全人员一定要有授权哦），最开始很长一段时间都是shodan一枝独秀，之后随着OSINT越来越重要，因此OSINT也开始百家争鸣，而本文将围绕FOFA，zoomeye，Shodan，censys，BinaryEdge这几个网络空间搜索引擎进行简单的

骚骑WebGoat闯关笔记===##概述：本来只想做一遍就好，但是想到学院的靶场每个做完都会写通关笔记，并且做完后都会记忆深刻，因此借学院社区，记录一下自己的通关笔记。然后这个是纯英文的，对我来说只能看的懂大概，真的太头疼了。ps：如果有哥哥们也想玩，可以直接用弟弟的环境（别搞破坏哦），注册就能用[骚骑的webgoat](http://saoqi.icu:8888/WebGoat &quo